ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

                                                                 НА „АРГУСО“ ЕООД

                                                                         Дефиниции

В настоящата Политика се използват следните дефиниции:

1.“Приложимо право“ означава приложимото законодателство на ЕС и РБългария по отношение на защитата на личните данни;                                                                                        2. „ОРЗД“ означава Регламент /ЕС/ № 2016/679 на Европейския парламент и Съвета от 27 април 2016г. относно защитата на личните данни на физически лица при обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/46/ ЕО ( Общ регламент за защита на данните).

3. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано;

4. „Обработване“ всяка операция или съвкупност от операции, извършвани с лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, промяна, употреба, разкриване чрез предаване, разпространение или друг начин, чрез който данните стават достъпни;

5. „Профилиране“ е всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надежност, поведение, „местоположение или движение;

6. „Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии;

7. „Администратор“ означава физическо или юридическо лице, публичен орган или друга структура, която сама или съвместно с други определя целите и средствата за обработването на личните данни;

8. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган или друга структура, която обработва лични данни от името на администратора;

9. „Съгласие на субекта на данни“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му, свързаните с него лични данни да бъдат обработени;

10. „Разкриващ лични данни“ означава страната по този Договор, която предава лични данни на Получателя на лични данни;

11. „Получател на лични данни“ означава страната, която получава личните данни от Разкриващия личните данни;                                                                                                       12.Термините „Субект на лични данни“, „Нарушение на сигурността на личните данни“, „Обработване“, „Специални категории лични данни“ и „Надзорен орган“ имат същото значение като в ОРЗД и приложимото национално законодателство.

Раздел I

Общи положения

Чл. 1. Настоящата Политика за защита на личните данни определя правилата по отношение защита на физическите лица във връзка с обработването на личните им данни, както и правилата по отношение на свободното движение на лични данни, съгласно изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент.

Чл. 2. Настоящата Политика определя целите и средствата за защита на личните данни. Целта на Политиката по защита на физическите лица във връзка с обработване на личните им данни се осъществява чрез:

1. Установяване на ясни правила и координираност в дейността на служителите на „Аргусо“ ЕООД  при събиране, записване, организиране, структуриране, съхраняване, промяна, употреба на лични данни, ограничаване и изтриване на данни от водените в дружеството регистри, за да се гарантира неприкосновеността на правата на субектите на данни при обработване на свързаните с тях лични данни;

2. Установяване на ясни правила при упражняване правата на субекта на данни по отношение на неговите данни;                                                                                                                                  3. Регламентиране достъпа на служителите до данните в съответния Регистър на дейностите по обработване;

4. Определяне Регистри на дейностите по обработване;

5. Регламентиране на принципи, които трябва да се спазват при управление на данните;

6. Определяне на необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).

Чл. 3. Настоящите правила регламентират:

1. Принципите на дейността на „Аргусо“ ЕООД   като администратор на лични данни, в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент , на Закона за защита на личните данни и Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни;

2. Механизмите, регламентиращи въвеждането и спазването на горните принципи;  

3. Правата на субектите на данни. Процедури при осъществяване правата на субектите на лични данни;

4. Функциите на „Аргусо“ ЕООД  в качеството му на администратор;

5. Отношенията на  „Аргусо“ ЕООД с дружества, които по силата на договор се явяват също администратори или обработващи лични данни;

6. Процедурата по оценка на въздействието върху обработваните лични данни и определяне нивата на въздействие и защита на обработваните лични данни.

 Раздел II

Принципи, свързани с обработването и защитата на личните данни

Чл. 4.  Основните принципи на дейността по обработване на лични данни в  „Аргусо“ ЕООД са:

1. Законосъобразно, добросъвестно и по прозрачен  начин обработване на личните данни. За да бъде обработването законосъобразно и добросъвестно, личните данни следва да бъдат обработвани на конкретни законни основания, съгласно изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент или на правен акт на Република България, уреждащ материята, както следва:                                                                                                                       

– На основание легитимен интерес на дружеството;                                                                          

– На основание спазаването на законово задължение, наложено на дружеството, в качеството му на администратор на данни;                                                                                                             

– На основание изпълнение на договор, по който субектът  на данни е страна или с оглед предприемане на стъпки по искане на субекта на данни преди встъпване в договорни отношения;                                                                                                                                              – На основание изрично съгласие на субекта на данни.

Изпълнението на принципа прозрачност изисква всяка информация и комуникация във връзка с обработването на личните данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки.                                                                                                       

 2. Ограничение на целите. Личните данни са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.                 

 3. Свеждане на данните до минимум. Събираните лични данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.                                 

4. Точност. Събраните и обработвани от дружеството лични данни следва да са точни и при необходимост да бъдат поддържани в актуален вид, като за целта дружеството предприема съответните мерки, за да се гарантира своевременното изтриване и коригиране на неточни лични данни, като се има предвид целите, за които те се обработват;                                          

5. Ограничение на съхранението. Личните данни се съхраняват за период не по-дълъг от необходимото за целите, за които те се обработват.

6. Цялостност и поверителност. Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни. За целта се прилагат подходящи техничски и орагнизационни мерки в дружеството.                                                                                             

Чл.5.(1 ) „Аргусо“ ЕООД  събира, обработва и съхранява личните данни на субектите на данни при: 1. гарантираност на неприкосновеността на личността и личния живот на субекта на данни при обработване на свързаните с тях лични данни;

2. законосъобразно и добросъвестно обработване на данните;

3. обработване на данни само от лица, чиито служебни задължения изискват обработване на конкретните данни на принципа “необходимост да се знае”;

Мерките за защита на данните са функция от вида регистър, на който се поддържат и нивото им на чувствителност.

(2) С цел гарантиране ограничението на съхранение на данните в дружеството се създават и прилагат Вътрешни правила за архивиране на документите.

Чл. 6 (1). „Аргусо“ ЕООД  не обработва лични данни, които:

1. разкриват расов или етнически произход;

2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;

3. се отнасят до генетични и биометрични данни, които се обработват за целите единствено на идентифицирането на физическо лице;

4. се отнасят до сексуалния живот или сексуалната ориентация на физическото лице или до човешкия геном.

5. лични данни, отнасящи се до здравословното състояние на клиента.

(2) Посочените в предходната алинея лични данни дружеството може да обработва само на законно уредените основания.

Чл.7. Обработването на личните данни на субектите на данни се осъществява при прилагане н Обработването на личните данни на субектите на данни се осъществява при прилагане на професионална конфиденциалност. Това изискване е задължително във взаимоотношенията между служителите, между служители и клиенти, както и спрямо третите лица, обработващи лични данни. В същата степен се изисква конфиденциалност и по отношение финансовото състояние на субектите на лични данни, както и извършваните от тях сделки.                                                                                                                                              

Раздел III

Права на субектите на данни

Чл. 8. (1). Правата на субектите на данни засягат всички лични данни на физическото лице, обработвани от „Аргусо“ ЕООД, както и всички субекти на данни, чиито данни се обработват от дружеството.

(2) Основните права на субекта на данни по отношение на неговите данни, които правната рамка постановява и дружеството спазва, са както следва:

1. Право на достъп;

2. Право на коригиране;

3. Право на изтриване(право “да бъдеш забравен”);

4. Право на ограничаване на обработването;

5. Право на възражение;

6. Право да не бъдеш субект на автоматизирано вземане на решение;

7. Право на пренос на данни.

Чл. 9. (1). Правото на достъп на Субекта на данни представлява правото да получи от „Аргусо“ ЕООД, в качеството му на администратор, потвърждение дали се обработват лични данни, свързани с него и ако това е така да получи достъп до личните си данни и следната информация:

– цели на обработването;

– съответните категории лични данни;

– категории получатели, пред които са или ще бъдат разкрити личните данни;

– предвидения срок, за който ще се съхраняват личните данни, а ако това е неприложимо, критериите, използвани за определяне на този срок;

– съществуването на правото да се изиска от дружеството коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данни, или да се направи възражение срещу такова обработване;

– правото на жалба до надзорен орган;

– когато личните данни не се събират от субекта на данни, всякаква налична информация за техния източник;

– съществуването на автоматизирано вземане на решение, включително профилиране, както и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данни;

Чл. 10 Субектът на данни има право да поиска от „Аргусо“ ЕООД  личните му данни да бъдат коригирани, ако са неточни или непълни. Във всеки един случай, когато е налице грешка в обработваните от Дружеството данни, то е длъжно да уважи такова искане, като в тези случаи трябва да уведоми и останалите получатели, на които са разкрити тези данни, за да могат и те да отразят промяната.

Чл. 11. (1). Субектът на данни има право на изтриване (право “да бъдеш забравен”) на данните му ако:

– данните вече не са необходими за първоначалната цел и не съществува нова законосъобразна цел;                                                                                                                                                          

– законното основание за обработването е съгласие на субекта на данни и той оттегли това съгласие, и липсва друго правно основание за обработване;                                                            – субектът на данни възразява срещу обработването на данни и липсва друго правно основание за обработване;               

– личните данни са били обработвани незаконосъобразно;

– личните данни трябва да бъдат изтрити с цел спазване на правно задължение, произтичащо от законодателство, което се прилага спрямо дружеството;                                                              

– личните данни са събрани във връзка с предлагане на услуги на информационното общество на субект на данни

– дете;                                                                                                                 

(2). Правото на изтриване на данните на субекта на данни не следва да се прилага от дружеството, доколкото обработването е необходимо:                                                                     

– за спазване от дружеството на правно задължение, предвидено в законодателството, което изисква обработване на данните;                                                                                                           

– за установяването, упражняването или защитата на правни претенции.

Чл. 12. (1). Субектът на данни има право да изиска от дружествотo да ограничи обработването на данните му в следните случаи:

– точността на личните данни се оспорва от субекта на данни, за срока, който ни позволява да извършим проверка на точността на личните данни;

– когато обработването е неправомерно, но субектът на данни не желае личните му данни да бъдат изтрити, а изисква вместо това да ограничим използването им;

– когато дружеството не се нуждае повече от личните данни за целите на обработването, но субектът на данни ги изисква за установяването, упражняването или за защитата на правни претенции;

– субектът на данни е възразил срещу обработването и е в очакване на проверка от страна на дружеството дали законните ни основания имат преимущество пред неговите интереси.

(2). Когато обработването на данни е ограничено съгласно условията на ал. 1, такива данни се обработват, с изключение на съхранението им, само със  съгласието на субекта на данни или в случай на необходимост от установяването, упражняването или защитата на правни претенции или за защитата на правата на други физически лица или поради важни основания от обществен интерес.

(3). Когато субектът на данни е упражнил правата си за коригиране, изтриване или ограничаване на обработването и дружеството съответно е коригирало записите, се задължава да съобщи за тези свои действия на всеки получател, на който личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.

Чл.13. (1). Субектът на данни има право по всяко време на възражение срещу обработване на личните му данни, отнасящи се до него, което се основава на обработването, необходимо за целите на легитимния интерес на дружеството. В този случай „Аргусо“ ЕООД  може да не прекрати обработването на данните при наличие на законови основания за обработването им, които имат предимство пред интересите, правата и свободите на субекта на данни или за установяване, упражняване или защитата на правни претенции.

(2). Когато субектът на данни възрази срещу обработването на личните му данни за целите на директния маркетинг дружеството прекратява обработването им за тази цел.

Чл. 14. Субектът на данни има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга. Това правило не се прилага ако решението е необходимо за сключване или изпълнение на договор между дружеството и субекта на данни.

Чл. 15. (1). Субектът на данни има право да получи личните данни, които го засягат и които той е предоставил на дружеството в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор.

(2). Когато упражнява правото си на преносимост на данни, субектът на данни има право да получи пряко прехвърляне от страна на „Аргусо“ ЕООД  към друг администратор само ако това е технически осъществимо.

Чл. 16. За упражняване правата на субектите на данни по отношение на неговите данни, в дружеството се създават и прилагат Вътрешни правила за упражняване правата на субектите на данни.  

.

Раздел V

  Регистри на дейностите по обработване

Чл. 17. (1). В настоящия раздел са изброени примерните изисквания при обработката на лични данни в зависимост от вида носител, на който се поддържат регистрите и нивото на чувствителност на данните.

Чл. 18. (1). „Аргусо“ ЕООД, като администратор на лични данни води следните регистри:

1. Регистър „Клиентски досиета”, по сключени от „Аргусо“ ЕООД   договори и образувани преписки. В него се обработват лични данни на клиенти на дружеството, страни/или техни представители/.

2. Регистър „Управление на човешните ресурси”, създаден с цел организиране дейността на дружеството във връзка с управление на персонала. В него се обработват лични данни на лица-служители на дружеството,  посредници,ако има такива, както и лични данни на кандидати за работа и стажанти;

3. Регистър по подадени жалби от Клиенти – преписки  в деловодната дейност на „Аргусо“ ЕООД. В него се обработват лични данни на лица, засегнати от дейността на дружеството, в това число и жалби от лица, които не са клиенти на дружеството;

4. Регистър „Доставчици на услуги и Граждански договори“ по сключени от „Аргусо“ ЕООД договори с външни доставчици. В него се обработват лични данни на контрагенти и/или лица по договори с външни доставчици на услуги, външни експерти  и други, които подпомагат извършване дейността на дружеството.

(2). Съгласно предвидения в закона ред и в зависимост от дейността на дружеството, могат да бъдат създадени допълнително и други регистри.

(3). Личните данни в горните регистри се събират, обработват и съхраняват от съответните специалисти, участващи в процеса по администриране и обслужване на съответната дейност на дружеството.

Чл. 19. В регистър „Клиентски досиета” се водят и съхраняват следните групи лични данни за клиенти на дружеството, техни представители/законни или по пълномощие/, действителни собственици, трети лица, които без упълномощаване извършват сделка от тяхно име за чужда сметка, ползващи се лица и други лица, свързани по някакъв начин с  договора:

а/ данни относно физическата идентичност на лицата по представен от лицето документ за самоличност-имена, адрес на физическото лице, електронен адрес,  телефони и др.;

б/ данни относно икономическата идентичност на лицето – финансово състояние на лицето, само  когато това се налага с оглед вида на договора или за определяне рисковия профил на клиента от гледна точка на мерките срещу изпиране на пари и финансиране на тероризма;

Чл. 20. (1). В регистър «Управление на човешките ресурси» се водят и съхраняват следните групи лични данни за служителите на дружеството по трудов или граждански договор, лица с договори за управление:

а/ данни относно физическата идентичност на лицата-по представен от лицето документ за самоличност – имена, ЕГН, номер на лична карта или друг документ за самоличност, по който физическото лице може да бъде идентифицирано, дата и година на издаване на документа, издател, адрес на физическото лице, месторождение, телефони и др; – основанието за събирането на тези данни са законовите изисквания, свързани със сключване на трудови и граждански договори, здравно и пенсионно  осигуряване на наетите лица и пр.

б/ данни относно образованието на физическото лице – вид на образованието, място, номер и дата на издаване на дипломата. Когато е необходимо се представят и данни относно допълнителна квалификация. Данните са необходими с оглед спазване нормативни или установени с щатното разписание изисквания за заемане, респективно за освобождаване на определени длъжности от лицата. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо;

в/ данни относно трудовата дейност на физическото лице – упражнявана професия, трудова биография. Данните са от значение при избора на подходящо за съответната длъжност лице. Предоставят се на основание нормативно задължение във всички случаи, когато е необходимо;

г/ други данни – лични данни относно гражданско-правния статус на лицата, необходими за длъжностите, свързани с материална отговорност, като свидетелство за съдимост-само  в случаите, изисквани от закона. Предоставят се на основание нормативно задължение.

Горната информация се съхранява в личните досиета на служителите.

Чл. 21. Минималните изисквания към регистрите, поддържани на хартиен носител, са:

1. Съхранение на носителите в заключващи се помещения, до които достъп нямат външни лица, а при необходимост и в шкафове със секретни ключалки;

2. При отпадане на основанието или постигане на целта на обработване и при изтичане на срока за съхранение, унищожаването на тези документи се извършва по начин, който предотвратява всякаква възможност за бъдещо разчитане на данните.  

3. Лицата с пряк достъп до документи, съдържащи лични данни, са длъжни да уведомят незабавно прекия си ръководител, в случай на установяване на неправомерен достъп или ползване на съответната информация, включваща лични данни, или на неправомерно проникване в помещение, в което тази информация се съхранява.

4. Мерките по предходните точки се спазват и от служителите, които по повод изпълнението на служебните си задължения са поискали предоставянето им от служителите, при които се поддържат първоначално събраните данни.

5.“Аргусо“ ЕООД  разглежда сигналите и инцидентите по предходната алинея, извършва анализ и взема мерки за отстраняването на причините за тях  и пропуските.

6. За архивиране на документите се спазват Вътрешните правила за архивиране на документите в „Аргусо“ ЕООД.

Чл.22. Достъпът и предоставянето на данни от тези регистри се осъществяват по възможност без изнасяне на оригиналните носители извън помещенията, в които се съхраняват. Трудовите досиета на служителите не се изнасят извън офисните помещения на „Аргусо“ ЕООД.

                    Регистри, поддържани на технически носител в електронен вид

Чл. 23. Данните, поддържани в електронните системи на „Аргусо“ ЕООД, съществуват на локален компютър или в мрежа, несвързана с обществената мрежа. Към тях се прилагат мерки, съответстващи на средно ниво на защита, като минимално изискване.

Чл. 24. Регистрите, спрямо които се прилага средно ниво на защита, са всички електронни масиви с клиентски данни и данни за други лица, свързани с услугите на „ Аргусо“ ЕООД.

Чл. 25. Минималните изисквания към регистрите, съдържащи лични данни, спрямо които се поддържа средно ниво на защита, са:

1. Временните файлове, изпращани между служители по повод изпълнение на служебните им задължения и съдържащи лични данни, се изтриват след изпълнение на съответната задача или се изтриват личните данни в тях.

2. В случай на загуба на данни, това обстоятелство се съобщава на Комисията по защита на личните данни.

Чл. 26. Защитата на системите, използването на пароли, ограниченията за достъп и правилата за работа с тях, както и спецификацията на техническите ресурси, прилагани за обработка на данни, реда за съхраняване и унищожаване на информационните носители и реда за архивиране и възстановяване на данни в случай на загуба, са в съответствие с утвърдените вътрешни правила и инструкции на „Аргусо“ ЕООД.

                                                          Раздел VІII

Процедура за достъп до лични данни от титулярите на данните или           трети лица, подаване на възражения и жалби

Общи положения при разглеждане на молби и жалби, свързани с лични данни

Чл. 27. (1). Всички сигнали на клиенти, свързани с лични данни се завеждат в деловодството на „Аргусо“ ЕООД  и се регистрират в регистъра на жалбите отделно.

(2). Клиент може да подаде заявление за достъп до лични данни чрез всички канали за подаване на молби, жалби или възражения.

(3). „Аргусо“ ЕООД  се произнася в 14-дневен срок от подаването на молбата, жалбата или възражението.

(4). Отделът , отговорен  за обработката на конкретните база данни и обслужващ конкретните операции, касаещи жалбата на клиента, изготвя отговора до клиента . За взетото решение въз основа на подадена молба, жалба или възражение се информира ръководителя на дружеството за предприемане на предписаните от Комисията по защита на личните данни мерки.

(5). При упражняване правата на субектите на данни по този Раздел се прилагат Вътрешните правила за упражняване правата на субектите на данни.

Достъп до лични данни от страна на лицето, за което се отнасят

Чл. 28. Всеки клиент на „Аргусо“ ЕООД  може да подаде молба до дружеството, с която да поиска упражняване на правата си, съгласно Раздел III от настоящата Политика.  

Чл.29. Ако данните, до които се иска достъп, представляват класифицирана информация, достъпа се отказва.

Достъп до лични данни от трети лица

Чл. 30. В случай, че трето лице иска достъп до данни  на клиент на „Аргусо“ ЕООД, които не представляват тайна или класифицирана информация, исканите данни се предоставят само в случай, че едновременно са изпълнени следните условия:

1. съществува законен интерес на лицето, искащо данните;

2. не може да се направи извод, че интересите на титуляра на данните има преимущество спрямо интересите на лицето, искащо разкриването на данните;

3. получателят на данните попада в кръга от лица, за който титулярът на данните предварително е уведомен относно възможността за разкриване на негови данни или титулярът е уведомен за разкриването на неговите данни след постъпване на искането от третото лице;

4. лицето, за което се отнасят данните е дало своето изрично писмено съгласие.

Чл. 31. Ако исканите данни съдържат тайна или класифицирана информация, се спазват изискванията за забрана за разкриването им.

Държавни органи – искания за достъп

Чл. 32. (1) При постъпило искане от държавен орган за предоставяне на информация, която съдържа и лични данни, се спазва специалния нормативен акт, който регламентира реда за предоставяне на съответния вид информация.

(2) Когато в писмото, в което се съдържа искането на държавния орган, се съдържат лични данни, които индивидуализират определени клиенти, в писмото-отговор индивидуализиращата информация за клиента не се включва по-голям обем данни, освен ако такива се изискват от органа.

(3) При постъпило искане за предоставяне на конкретни лични данни, копие от писмото на съответния орган се предоставя и на управителя  на „Аргусо“ ЕООД, с оглед потвърждение на основанието по закон и предприемане на необходимите действия, съгласно Закона.

Подаване на възражения и жалби

Чл. 33. Физическо лице може да направи възражение или да отправи искане пред „Аргусо“ ЕООД  относно:

1. обработването на личните му данни при наличие на законово основание за това; при преценка, че възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;

2. обработването на личните му данни за целите на директния маркетинг, независимо от първоначално изразеното писмено съгласие;  

3. искане за уведомяване преди личните му данни да бъдат разкрити за пръв път на трети лица, независимо от първоначалното му писмено съгласие, за да  му бъде предоставена възможност да възрази срещу такова разкриване или използване. В случай, че без това разкриване или използване съществува пречка за изпълнение на задължения по сключен договор, договорът се прекратява, като клиентът се уведомява за това.

4. в случай, че лицето не е подало заявление по предходната точка, с което иска да бъде уведомявано преди всяко разкриване на негови данни, то също може да възрази срещу разкриването, като съответният  договор ще бъде прекратен.

Раздел IX

Прехвърляне, проверка и съвместно обработване на лични данни между „Аргусо“ ЕООД и друг администратор

Прехвърляне на данни от „Аргусо“ЕООД  на друг администратор на лични данни по силата на договор

Чл. 34. (1). Предоставянето на клиентски данни от „Аргусо“ ЕООД  на други администратори, включително от държави от ЕС, по силата на споразумение се извършва при спазване на условията и предвидените възможности, определени с настоящите Правила, като при липса на предварително уведомление за възможните категории получатели, задължително титулярът на данните се уведомява за предоставянето непосредствено преди или след извършването му.

(2). Уведомлението по ал.1 съдържа следната информация:

1. категориите лични данни, които се предоставят;

2. получателят на данните;

3. целите на обработването.

(3). Когато прехвърлянето е към субект от друга държава, извън ЕС, се спазват специфичните изисквания на Закона за такъв вид прехвърляне.

Получаване от страна на „Аргусо“ ЕООД  на данни от друг администратор

Чл. 35. При водене на преговори и сключване на договори за провеждане на съвместни кампании с други търговци, които предвиждат получаване от тях на лични данни на техни клиенти, от контрагента се изисква да гарантира спазване на ЗЗЛД  и новия Регламент- ОРЗД при предоставяне на данните на „Аргусо“ ЕООД.

Чл. 36. В случай че в хода на съвместната кампания клиент изрази несъгласие с обработването на негови лични данни, когато клиентът не е страна по търговски договор, сключен с „Аргусо“ ЕООД, както и не се е съгласявал писмено за обработване на информация, отнасяща се до него, данните незабавно се унищожават  на основание отпадане на целта на обработването.

Раздел X

Правила за вписване на лични данни в договори на „Аргусо“ ЕООД

Чл. 37. В  договорите, по които „Аргусо“ ЕООД  е страна, личните данни относно клиентите са в обем, който е достатъчен за индивидуализацията на клиента, освен ако от естеството на договора не следва друго.

Чл. 38. Задължително при съставяне на  договори, предлагани от „Аргусо“ ЕООД, се включва текст относно начина на обработване на личните данни на клиента и получаване на необходимите съгласия за обработване на лични данни, чието съдържание е съобразено с характера на продукта.

Чл. 39. Контролът върху изпълнение на настоящата Политика се осъществява от Управителя на дружеството или от нарочно начначено от него лице.

Заключителни разпоредби

Настоящата Вътрешна политика е приета с Протокол № 1 от 24.05.2018 г. за решение на Едноличния собственик на  дружеството.

   Вътрешни  правила за упражняване  правата на субектите на данни

Чл. 1. (1). Правата на субектите на данни засягат всички лични данни на физическото лице, обработвани от „Аргусо“ ЕООД, както и всички субекти на данни, чиито данни се обработват от дружеството.

(2) Основните права на субекта на данни по отношение на неговите данни, които правната рамка постановява и дружеството спазва, са както следва:

1. Право на достъп;

2. Право на коригиране;

3. Право на изтриване(право “да бъдеш забравен”);

4. Право на ограничаване на обработването;

5. Право на възражение;

6. Право да не бъдеш субект на автоматизирано вземане на решение;

7. Право на пренос на данни.

Чл. 2. (1). Правото на достъп на Субекта на данни представлява правото да получи от „Аргусо“ ЕООД, в качеството му на администратор, потвърждение дали се обработват лични данни, свързани с него и ако това е така да получи достъп до личните си данни и следната информация:

– цели на обработването;

– съответните категории лични данни;

– категории получатели, пред които са или ще бъдат разкрити личните данни;

– предвидения срок, за който ще се съхраняват личните данни, а ако това е неприложимо, критериите, използвани за определяне на този срок;

– съществуването на правото да се изиска от дружеството коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данни, или да се направи възражение срещу такова обработване;

– правото на жалба до надзорен орган;

– когато личните данни не се събират от субекта на данни, всякаква налична информация за техния източник;

– съществуването на автоматизирано вземане на решение, включително профилиране, както и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данни;

Чл. 3. Субектът на данни има право да поиска от „Аргусо“ ЕООД  личните му данни да бъдат коригирани, ако са неточни или непълни. Във всеки един случай, когато е налице грешка в обработваните от Дружеството данни, то е длъжно да уважи такова искане, като в тези случаи трябва да уведоми и останалите получатели, на които са разкрити тези данни, за да могат и те да отразят промяната.

Чл. 4. Субектът на данни има право на изтриване (право “да бъдеш забравен”) на данните му ако:

– данните вече не са необходими за първоначалната цел и не съществува нова законосъобразна цел;                                                                                                                                                          

– законното основание за обработването е съгласие на субекта на данни и той оттегли това съгласие, и липсва друго правно основание за обработване;                                                            – субектът на данни възразява срещу обработването на данни и липсва друго правно основание за обработване;               

– личните данни са били обработвани незаконосъобразно;

– личните данни трябва да бъдат изтрити с цел спазване на правно задължение, произтичащо от законодателство, което се прилага спрямо дружеството;                                                              

– личните данни са събрани във връзка с предлагане на услуги на информационното общество на субект на данни

– дете;   

Чл. 5. Правото на изтриване на данните на субекта на данни не следва да се прилага от дружеството, доколкото обработването е необходимо:                                                                     

– за спазване от дружеството на правно задължение, предвидено в законодателството, което изисква обработване на данните;                                                                                                           

– за установяването, упражняването или защитата на правни претенции.

Чл. 6. (1). Субектът на данни има право да изиска от дружествотo да ограничи обработването на данните му в следните случаи:

– точността на личните данни се оспорва от субекта на данни, за срока, който ни позволява да извършим проверка на точността на личните данни;

– когато обработването е неправомерно, но субектът на данни не желае личните му данни да бъдат изтрити, а изисква вместо това да ограничим използването им;

– когато дружеството не се нуждае повече от личните данни за целите на обработването, но субектът на данни ги изисква за установяването, упражняването или за защитата на правни претенции;

– субектът на данни е възразил срещу обработването и е в очакване на проверка от страна на дружеството дали законните ни основания имат преимущество пред неговите интереси.

(2). Когато обработването на данни е ограничено съгласно условията на ал. 1, такива данни се обработват, с изключение на съхранението им, само със  съгласието на субекта на данни или в случай на необходимост от установяването, упражняването или защитата на правни претенции или за защитата на правата на други физически лица или поради важни основания от обществен интерес.

(3). Когато субектът на данни е упражнил правата си за коригиране, изтриване или ограничаване на обработването и дружеството съответно е коригирало записите, се задължава да съобщи за тези свои действия на всеки получател, на който личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.

Чл.7. Субектът на данни има право по всяко време на възражение срещу обработване на личните му данни, отнасящи се до него, което се основава на обработването, необходимо за целите на легитимния интерес на дружеството. В този случай „Аргусо“ ЕООД  може да не прекрати обработването на данните при наличие на законови основания за обработването им, които имат предимство пред интересите, правата и свободите на субекта на данни или за установяване, упражняване или защитата на правни претенции.

Чл.8.  Когато субектът на данни възрази срещу обработването на личните му данни за целите на директния маркетинг дружеството прекратява обработването им за тази цел.

Чл. 9. Субектът на данни има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга. Това правило не се прилага ако решението е необходимо за сключване или изпълнение на договор между дружеството и субекта на данни.

Чл. 10. (1). Субектът на данни има право да получи личните данни, които го засягат и които той е предоставил на дружеството в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор.

(2). Когато упражнява правото си на преносимост на данни, субектът на данни има право да получи пряко прехвърляне от страна 

                                     ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

                                                                 НА „АРГУСО“ ЕООД

                                                                         Дефиниции

В настоящата Политика се използват следните дефиниции:

1.“Приложимо право“ означава приложимото законодателство на ЕС и РБългария по отношение на защитата на личните данни;                                                                                        2. „ОРЗД“ означава Регламент /ЕС/ № 2016/679 на Европейския парламент и Съвета от 27 април 2016г. относно защитата на личните данни на физически лица при обработването на лични данни и относно свободното движение на такива данни, и за отмяна на Директива 95/46/ ЕО ( Общ регламент за защита на данните).

3. „Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано;

4. „Обработване“ всяка операция или съвкупност от операции, извършвани с лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, промяна, употреба, разкриване чрез предаване, разпространение или друг начин, чрез който данните стават достъпни;

5. „Профилиране“ е всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надежност, поведение, „местоположение или движение;

6. „Регистър с лични данни“ означава всеки структуриран набор от лични данни, достъпът до които се осъществява съгласно определени критерии;

7. „Администратор“ означава физическо или юридическо лице, публичен орган или друга структура, която сама или съвместно с други определя целите и средствата за обработването на личните данни;

8. „Обработващ лични данни“ означава физическо или юридическо лице, публичен орган или друга структура, която обработва лични данни от името на администратора;

9. „Съгласие на субекта на данни“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данни, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му, свързаните с него лични данни да бъдат обработени;

10. „Разкриващ лични данни“ означава страната по този Договор, която предава лични данни на Получателя на лични данни;

11. „Получател на лични данни“ означава страната, която получава личните данни от Разкриващия личните данни;                                                                                                       12.Термините „Субект на лични данни“, „Нарушение на сигурността на личните данни“, „Обработване“, „Специални категории лични данни“ и „Надзорен орган“ имат същото значение като в ОРЗД и приложимото национално законодателство.

Раздел I

Общи положения

Чл. 1. Настоящата Политика за защита на личните данни определя правилата по отношение защита на физическите лица във връзка с обработването на личните им данни, както и правилата по отношение на свободното движение на лични данни, съгласно изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент.

Чл. 2. Настоящата Политика определя целите и средствата за защита на личните данни. Целта на Политиката по защита на физическите лица във връзка с обработване на личните им данни се осъществява чрез:

1. Установяване на ясни правила и координираност в дейността на служителите на „Аргусо“ ЕООД  при събиране, записване, организиране, структуриране, съхраняване, промяна, употреба на лични данни, ограничаване и изтриване на данни от водените в дружеството регистри, за да се гарантира неприкосновеността на правата на субектите на данни при обработване на свързаните с тях лични данни;

2. Установяване на ясни правила при упражняване правата на субекта на данни по отношение на неговите данни;                                                                                                                                  3. Регламентиране достъпа на служителите до данните в съответния Регистър на дейностите по обработване;

4. Определяне Регистри на дейностите по обработване;

5. Регламентиране на принципи, които трябва да се спазват при управление на данните;

6. Определяне на необходимите технически и организационни мерки за защита личните данни от неправомерно обработване (случайно или незаконно унищожаване, случайна загуба, неправомерен достъп, изменение или разпространение, както и от всички други незаконни форми на обработване на лични данни).

Чл. 3. Настоящите правила регламентират:

1. Принципите на дейността на „Аргусо“ ЕООД   като администратор на лични данни, в съответствие с изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент , на Закона за защита на личните данни и Наредба № 1 от 30.01.2013 г. за минималното ниво на технически и организационни мерки и допустимия вид защита на личните данни;

2. Механизмите, регламентиращи въвеждането и спазването на горните принципи;  

3. Правата на субектите на данни. Процедури при осъществяване правата на субектите на лични данни;

4. Функциите на „Аргусо“ ЕООД  в качеството му на администратор;

5. Отношенията на  „Аргусо“ ЕООД с дружества, които по силата на договор се явяват също администратори или обработващи лични данни;

6. Процедурата по оценка на въздействието върху обработваните лични данни и определяне нивата на въздействие и защита на обработваните лични данни.

 Раздел II

Принципи, свързани с обработването и защитата на личните данни

Чл. 4.  Основните принципи на дейността по обработване на лични данни в  „Аргусо“ ЕООД са:

1. Законосъобразно, добросъвестно и по прозрачен  начин обработване на личните данни. За да бъде обработването законосъобразно и добросъвестно, личните данни следва да бъдат обработвани на конкретни законни основания, съгласно изискванията на Регламент (ЕС) 2016/679 на Европейския Парламент или на правен акт на Република България, уреждащ материята, както следва:                                                                                                                       

– На основание легитимен интерес на дружеството;                                                                          

– На основание спазаването на законово задължение, наложено на дружеството, в качеството му на администратор на данни;                                                                                                             

– На основание изпълнение на договор, по който субектът  на данни е страна или с оглед предприемане на стъпки по искане на субекта на данни преди встъпване в договорни отношения;                                                                                                                                              – На основание изрично съгласие на субекта на данни.

Изпълнението на принципа прозрачност изисква всяка информация и комуникация във връзка с обработването на личните данни да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки.                                                                                                       

 2. Ограничение на целите. Личните данни са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели.                 

 3. Свеждане на данните до минимум. Събираните лични данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват.                                 

4. Точност. Събраните и обработвани от дружеството лични данни следва да са точни и при необходимост да бъдат поддържани в актуален вид, като за целта дружеството предприема съответните мерки, за да се гарантира своевременното изтриване и коригиране на неточни лични данни, като се има предвид целите, за които те се обработват;                                          

5. Ограничение на съхранението. Личните данни се съхраняват за период не по-дълъг от необходимото за целите, за които те се обработват.

6. Цялостност и поверителност. Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност на личните данни. За целта се прилагат подходящи техничски и орагнизационни мерки в дружеството.                                                                                             

Чл.5.(1 ) „Аргусо“ ЕООД  събира, обработва и съхранява личните данни на субектите на данни при: 1. гарантираност на неприкосновеността на личността и личния живот на субекта на данни при обработване на свързаните с тях лични данни;

2. законосъобразно и добросъвестно обработване на данните;

3. обработване на данни само от лица, чиито служебни задължения изискват обработване на конкретните данни на принципа “необходимост да се знае”;

Мерките за защита на данните са функция от вида регистър, на който се поддържат и нивото им на чувствителност.

(2) С цел гарантиране ограничението на съхранение на данните в дружеството се създават и прилагат Вътрешни правила за архивиране на документите.

Чл. 6 (1). „Аргусо“ ЕООД  не обработва лични данни, които:

1. разкриват расов или етнически произход;

2. разкриват политически, религиозни или философски убеждения, членство в политически партии или организации, сдружения с религиозни, философски, политически или синдикални цели;

3. се отнасят до генетични и биометрични данни, които се обработват за целите единствено на идентифицирането на физическо лице;

4. се отнасят до сексуалния живот или сексуалната ориентация на физическото лице или до човешкия геном.

5. лични данни, отнасящи се до здравословното състояние на клиента.

(2) Посочените в предходната алинея лични данни дружеството може да обработва само на законно уредените основания.

Чл.7. Обработването на личните данни на субектите на данни се осъществява при прилагане н Обработването на личните данни на субектите на данни се осъществява при прилагане на професионална конфиденциалност. Това изискване е задължително във взаимоотношенията между служителите, между служители и клиенти, както и спрямо третите лица, обработващи лични данни. В същата степен се изисква конфиденциалност и по отношение финансовото състояние на субектите на лични данни, както и извършваните от тях сделки.                                                                                                                                              

Раздел III

Права на субектите на данни

Чл. 8. (1). Правата на субектите на данни засягат всички лични данни на физическото лице, обработвани от „Аргусо“ ЕООД, както и всички субекти на данни, чиито данни се обработват от дружеството.

(2) Основните права на субекта на данни по отношение на неговите данни, които правната рамка постановява и дружеството спазва, са както следва:

1. Право на достъп;

2. Право на коригиране;

3. Право на изтриване(право “да бъдеш забравен”);

4. Право на ограничаване на обработването;

5. Право на възражение;

6. Право да не бъдеш субект на автоматизирано вземане на решение;

7. Право на пренос на данни.

Чл. 9. (1). Правото на достъп на Субекта на данни представлява правото да получи от „Аргусо“ ЕООД, в качеството му на администратор, потвърждение дали се обработват лични данни, свързани с него и ако това е така да получи достъп до личните си данни и следната информация:

– цели на обработването;

– съответните категории лични данни;

– категории получатели, пред които са или ще бъдат разкрити личните данни;

– предвидения срок, за който ще се съхраняват личните данни, а ако това е неприложимо, критериите, използвани за определяне на този срок;

– съществуването на правото да се изиска от дружеството коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данни, или да се направи възражение срещу такова обработване;

– правото на жалба до надзорен орган;

– когато личните данни не се събират от субекта на данни, всякаква налична информация за техния източник;

– съществуването на автоматизирано вземане на решение, включително профилиране, както и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данни;

Чл. 10 Субектът на данни има право да поиска от „Аргусо“ ЕООД  личните му данни да бъдат коригирани, ако са неточни или непълни. Във всеки един случай, когато е налице грешка в обработваните от Дружеството данни, то е длъжно да уважи такова искане, като в тези случаи трябва да уведоми и останалите получатели, на които са разкрити тези данни, за да могат и те да отразят промяната.

Чл. 11. (1). Субектът на данни има право на изтриване (право “да бъдеш забравен”) на данните му ако:

– данните вече не са необходими за първоначалната цел и не съществува нова законосъобразна цел;                                                                                                                                                          

– законното основание за обработването е съгласие на субекта на данни и той оттегли това съгласие, и липсва друго правно основание за обработване;                                                            – субектът на данни възразява срещу обработването на данни и липсва друго правно основание за обработване;               

– личните данни са били обработвани незаконосъобразно;

– личните данни трябва да бъдат изтрити с цел спазване на правно задължение, произтичащо от законодателство, което се прилага спрямо дружеството;                                                              

– личните данни са събрани във връзка с предлагане на услуги на информационното общество на субект на данни

– дете;                                                                                                                 

(2). Правото на изтриване на данните на субекта на данни не следва да се прилага от дружеството, доколкото обработването е необходимо:                                                                     

– за спазване от дружеството на правно задължение, предвидено в законодателството, което изисква обработване на данните;                                                                                                           

– за установяването, упражняването или защитата на правни претенции.

Чл. 12. (1). Субектът на данни има право да изиска от дружествотo да ограничи обработването на данните му в следните случаи:

– точността на личните данни се оспорва от субекта на данни, за срока, който ни позволява да извършим проверка на точността на личните данни;

– когато обработването е неправомерно, но субектът на данни не желае личните му данни да бъдат изтрити, а изисква вместо това да ограничим използването им;

– когато дружеството не се нуждае повече от личните данни за целите на обработването, но субектът на данни ги изисква за установяването, упражняването или за защитата на правни претенции;

– субектът на данни е възразил срещу обработването и е в очакване на проверка от страна на дружеството дали законните ни основания имат преимущество пред неговите интереси.

(2). Когато обработването на данни е ограничено съгласно условията на ал. 1, такива данни се обработват, с изключение на съхранението им, само със  съгласието на субекта на данни или в случай на необходимост от установяването, упражняването или защитата на правни претенции или за защитата на правата на други физически лица или поради важни основания от обществен интерес.

(3). Когато субектът на данни е упражнил правата си за коригиране, изтриване или ограничаване на обработването и дружеството съответно е коригирало записите, се задължава да съобщи за тези свои действия на всеки получател, на който личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.

Чл.13. (1). Субектът на данни има право по всяко време на възражение срещу обработване на личните му данни, отнасящи се до него, което се основава на обработването, необходимо за целите на легитимния интерес на дружеството. В този случай „Аргусо“ ЕООД  може да не прекрати обработването на данните при наличие на законови основания за обработването им, които имат предимство пред интересите, правата и свободите на субекта на данни или за установяване, упражняване или защитата на правни претенции.

(2). Когато субектът на данни възрази срещу обработването на личните му данни за целите на директния маркетинг дружеството прекратява обработването им за тази цел.

Чл. 14. Субектът на данни има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга. Това правило не се прилага ако решението е необходимо за сключване или изпълнение на договор между дружеството и субекта на данни.

Чл. 15. (1). Субектът на данни има право да получи личните данни, които го засягат и които той е предоставил на дружеството в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор.

(2). Когато упражнява правото си на преносимост на данни, субектът на данни има право да получи пряко прехвърляне от страна на „Аргусо“ ЕООД  към друг администратор само ако това е технически осъществимо.

Чл. 16. За упражняване правата на субектите на данни по отношение на неговите данни, в дружеството се създават и прилагат Вътрешни правила за упражняване правата на субектите на данни.  

.

Раздел V

  Регистри на дейностите по обработване

Чл. 17. (1). В настоящия раздел са изброени примерните изисквания при обработката на лични данни в зависимост от вида носител, на който се поддържат регистрите и нивото на чувствителност на данните.

Чл. 18. (1). „Аргусо“ ЕООД, като администратор на лични данни води следните регистри:

1. Регистър „Клиентски досиета”, по сключени от „Аргусо“ ЕООД   договори и образувани преписки. В него се обработват лични данни на клиенти на дружеството, страни/или техни представители/.

2. Регистър „Управление на човешните ресурси”, създаден с цел организиране дейността на дружеството във връзка с управление на персонала. В него се обработват лични данни на лица-служители на дружеството,  посредници,ако има такива, както и лични данни на кандидати за работа и стажанти;

3. Регистър по подадени жалби от Клиенти – преписки  в деловодната дейност на „Аргусо“ ЕООД. В него се обработват лични данни на лица, засегнати от дейността на дружеството, в това число и жалби от лица, които не са клиенти на дружеството;

4. Регистър „Доставчици на услуги и Граждански договори“ по сключени от „Аргусо“ ЕООД договори с външни доставчици. В него се обработват лични данни на контрагенти и/или лица по договори с външни доставчици на услуги, външни експерти  и други, които подпомагат извършване дейността на дружеството.

(2). Съгласно предвидения в закона ред и в зависимост от дейността на дружеството, могат да бъдат създадени допълнително и други регистри.

(3). Личните данни в горните регистри се събират, обработват и съхраняват от съответните специалисти, участващи в процеса по администриране и обслужване на съответната дейност на дружеството.

Чл. 19. В регистър „Клиентски досиета” се водят и съхраняват следните групи лични данни за клиенти на дружеството, техни представители/законни или по пълномощие/, действителни собственици, трети лица, които без упълномощаване извършват сделка от тяхно име за чужда сметка, ползващи се лица и други лица, свързани по някакъв начин с  договора:

а/ данни относно физическата идентичност на лицата по представен от лицето документ за самоличност-имена, адрес на физическото лице, електронен адрес,  телефони и др.;

б/ данни относно икономическата идентичност на лицето – финансово състояние на лицето, само  когато това се налага с оглед вида на договора или за определяне рисковия профил на клиента от гледна точка на мерките срещу изпиране на пари и финансиране на тероризма;

Чл. 20. (1). В регистър «Управление на човешките ресурси» се водят и съхраняват следните групи лични данни за служителите на дружеството по трудов или граждански договор, лица с договори за управление:

а/ данни относно физическата идентичност на лицата-по представен от лицето документ за самоличност – имена, ЕГН, номер на лична карта или друг документ за самоличност, по който физическото лице може да бъде идентифицирано, дата и година на издаване на документа, издател, адрес на физическото лице, месторождение, телефони и др; – основанието за събирането на тези данни са законовите изисквания, свързани със сключване на трудови и граждански договори, здравно и пенсионно  осигуряване на наетите лица и пр.

б/ данни относно образованието на физическото лице – вид на образованието, място, номер и дата на издаване на дипломата. Когато е необходимо се представят и данни относно допълнителна квалификация. Данните са необходими с оглед спазване нормативни или установени с щатното разписание изисквания за заемане, респективно за освобождаване на определени длъжности от лицата. Предоставят се от лицата на основание нормативно задължение във всички случаи, когато е необходимо;

в/ данни относно трудовата дейност на физическото лице – упражнявана професия, трудова биография. Данните са от значение при избора на подходящо за съответната длъжност лице. Предоставят се на основание нормативно задължение във всички случаи, когато е необходимо;

г/ други данни – лични данни относно гражданско-правния статус на лицата, необходими за длъжностите, свързани с материална отговорност, като свидетелство за съдимост-само  в случаите, изисквани от закона. Предоставят се на основание нормативно задължение.

Горната информация се съхранява в личните досиета на служителите.

Чл. 21. Минималните изисквания към регистрите, поддържани на хартиен носител, са:

1. Съхранение на носителите в заключващи се помещения, до които достъп нямат външни лица, а при необходимост и в шкафове със секретни ключалки;

2. При отпадане на основанието или постигане на целта на обработване и при изтичане на срока за съхранение, унищожаването на тези документи се извършва по начин, който предотвратява всякаква възможност за бъдещо разчитане на данните.  

3. Лицата с пряк достъп до документи, съдържащи лични данни, са длъжни да уведомят незабавно прекия си ръководител, в случай на установяване на неправомерен достъп или ползване на съответната информация, включваща лични данни, или на неправомерно проникване в помещение, в което тази информация се съхранява.

4. Мерките по предходните точки се спазват и от служителите, които по повод изпълнението на служебните си задължения са поискали предоставянето им от служителите, при които се поддържат първоначално събраните данни.

5.“Аргусо“ ЕООД  разглежда сигналите и инцидентите по предходната алинея, извършва анализ и взема мерки за отстраняването на причините за тях  и пропуските.

6. За архивиране на документите се спазват Вътрешните правила за архивиране на документите в „Аргусо“ ЕООД.

Чл.22. Достъпът и предоставянето на данни от тези регистри се осъществяват по възможност без изнасяне на оригиналните носители извън помещенията, в които се съхраняват. Трудовите досиета на служителите не се изнасят извън офисните помещения на „Аргусо“ ЕООД.

                    Регистри, поддържани на технически носител в електронен вид

Чл. 23. Данните, поддържани в електронните системи на „Аргусо“ ЕООД, съществуват на локален компютър или в мрежа, несвързана с обществената мрежа. Към тях се прилагат мерки, съответстващи на средно ниво на защита, като минимално изискване.

Чл. 24. Регистрите, спрямо които се прилага средно ниво на защита, са всички електронни масиви с клиентски данни и данни за други лица, свързани с услугите на „ Аргусо“ ЕООД.

Чл. 25. Минималните изисквания към регистрите, съдържащи лични данни, спрямо които се поддържа средно ниво на защита, са:

1. Временните файлове, изпращани между служители по повод изпълнение на служебните им задължения и съдържащи лични данни, се изтриват след изпълнение на съответната задача или се изтриват личните данни в тях.

2. В случай на загуба на данни, това обстоятелство се съобщава на Комисията по защита на личните данни.

Чл. 26. Защитата на системите, използването на пароли, ограниченията за достъп и правилата за работа с тях, както и спецификацията на техническите ресурси, прилагани за обработка на данни, реда за съхраняване и унищожаване на информационните носители и реда за архивиране и възстановяване на данни в случай на загуба, са в съответствие с утвърдените вътрешни правила и инструкции на „Аргусо“ ЕООД.

                                                          Раздел VІII

Процедура за достъп до лични данни от титулярите на данните или           трети лица, подаване на възражения и жалби

Общи положения при разглеждане на молби и жалби, свързани с лични данни

Чл. 27. (1). Всички сигнали на клиенти, свързани с лични данни се завеждат в деловодството на „Аргусо“ ЕООД  и се регистрират в регистъра на жалбите отделно.

(2). Клиент може да подаде заявление за достъп до лични данни чрез всички канали за подаване на молби, жалби или възражения.

(3). „Аргусо“ ЕООД  се произнася в 14-дневен срок от подаването на молбата, жалбата или възражението.

(4). Отделът , отговорен  за обработката на конкретните база данни и обслужващ конкретните операции, касаещи жалбата на клиента, изготвя отговора до клиента . За взетото решение въз основа на подадена молба, жалба или възражение се информира ръководителя на дружеството за предприемане на предписаните от Комисията по защита на личните данни мерки.

(5). При упражняване правата на субектите на данни по този Раздел се прилагат Вътрешните правила за упражняване правата на субектите на данни.

Достъп до лични данни от страна на лицето, за което се отнасят

Чл. 28. Всеки клиент на „Аргусо“ ЕООД  може да подаде молба до дружеството, с която да поиска упражняване на правата си, съгласно Раздел III от настоящата Политика.  

Чл.29. Ако данните, до които се иска достъп, представляват класифицирана информация, достъпа се отказва.

Достъп до лични данни от трети лица

Чл. 30. В случай, че трето лице иска достъп до данни  на клиент на „Аргусо“ ЕООД, които не представляват тайна или класифицирана информация, исканите данни се предоставят само в случай, че едновременно са изпълнени следните условия:

1. съществува законен интерес на лицето, искащо данните;

2. не може да се направи извод, че интересите на титуляра на данните има преимущество спрямо интересите на лицето, искащо разкриването на данните;

3. получателят на данните попада в кръга от лица, за който титулярът на данните предварително е уведомен относно възможността за разкриване на негови данни или титулярът е уведомен за разкриването на неговите данни след постъпване на искането от третото лице;

4. лицето, за което се отнасят данните е дало своето изрично писмено съгласие.

Чл. 31. Ако исканите данни съдържат тайна или класифицирана информация, се спазват изискванията за забрана за разкриването им.

Държавни органи – искания за достъп

Чл. 32. (1) При постъпило искане от държавен орган за предоставяне на информация, която съдържа и лични данни, се спазва специалния нормативен акт, който регламентира реда за предоставяне на съответния вид информация.

(2) Когато в писмото, в което се съдържа искането на държавния орган, се съдържат лични данни, които индивидуализират определени клиенти, в писмото-отговор индивидуализиращата информация за клиента не се включва по-голям обем данни, освен ако такива се изискват от органа.

(3) При постъпило искане за предоставяне на конкретни лични данни, копие от писмото на съответния орган се предоставя и на управителя  на „Аргусо“ ЕООД, с оглед потвърждение на основанието по закон и предприемане на необходимите действия, съгласно Закона.

Подаване на възражения и жалби

Чл. 33. Физическо лице може да направи възражение или да отправи искане пред „Аргусо“ ЕООД  относно:

1. обработването на личните му данни при наличие на законово основание за това; при преценка, че възражението е основателно, личните данни на съответното физическо лице не могат повече да бъдат обработвани;

2. обработването на личните му данни за целите на директния маркетинг, независимо от първоначално изразеното писмено съгласие;  

3. искане за уведомяване преди личните му данни да бъдат разкрити за пръв път на трети лица, независимо от първоначалното му писмено съгласие, за да  му бъде предоставена възможност да възрази срещу такова разкриване или използване. В случай, че без това разкриване или използване съществува пречка за изпълнение на задължения по сключен договор, договорът се прекратява, като клиентът се уведомява за това.

4. в случай, че лицето не е подало заявление по предходната точка, с което иска да бъде уведомявано преди всяко разкриване на негови данни, то също може да възрази срещу разкриването, като съответният  договор ще бъде прекратен.

Раздел IX

Прехвърляне, проверка и съвместно обработване на лични данни между „Аргусо“ ЕООД и друг администратор

Прехвърляне на данни от „Аргусо“ЕООД  на друг администратор на лични данни по силата на договор

Чл. 34. (1). Предоставянето на клиентски данни от „Аргусо“ ЕООД  на други администратори, включително от държави от ЕС, по силата на споразумение се извършва при спазване на условията и предвидените възможности, определени с настоящите Правила, като при липса на предварително уведомление за възможните категории получатели, задължително титулярът на данните се уведомява за предоставянето непосредствено преди или след извършването му.

(2). Уведомлението по ал.1 съдържа следната информация:

1. категориите лични данни, които се предоставят;

2. получателят на данните;

3. целите на обработването.

(3). Когато прехвърлянето е към субект от друга държава, извън ЕС, се спазват специфичните изисквания на Закона за такъв вид прехвърляне.

Получаване от страна на „Аргусо“ ЕООД  на данни от друг администратор

Чл. 35. При водене на преговори и сключване на договори за провеждане на съвместни кампании с други търговци, които предвиждат получаване от тях на лични данни на техни клиенти, от контрагента се изисква да гарантира спазване на ЗЗЛД  и новия Регламент- ОРЗД при предоставяне на данните на „Аргусо“ ЕООД.

Чл. 36. В случай че в хода на съвместната кампания клиент изрази несъгласие с обработването на негови лични данни, когато клиентът не е страна по търговски договор, сключен с „Аргусо“ ЕООД, както и не се е съгласявал писмено за обработване на информация, отнасяща се до него, данните незабавно се унищожават  на основание отпадане на целта на обработването.

Раздел X

Правила за вписване на лични данни в договори на „Аргусо“ ЕООД

Чл. 37. В  договорите, по които „Аргусо“ ЕООД  е страна, личните данни относно клиентите са в обем, който е достатъчен за индивидуализацията на клиента, освен ако от естеството на договора не следва друго.

Чл. 38. Задължително при съставяне на  договори, предлагани от „Аргусо“ ЕООД, се включва текст относно начина на обработване на личните данни на клиента и получаване на необходимите съгласия за обработване на лични данни, чието съдържание е съобразено с характера на продукта.

Чл. 39. Контролът върху изпълнение на настоящата Политика се осъществява от Управителя на дружеството или от нарочно начначено от него лице.

Заключителни разпоредби

Настоящата Вътрешна политика е приета с Протокол № 1 от 24.05.2018 г. за решение на Едноличния собственик на  дружеството.

   Вътрешни  правила за упражняване  правата на субектите на данни

Чл. 1. (1). Правата на субектите на данни засягат всички лични данни на физическото лице, обработвани от „Аргусо“ ЕООД, както и всички субекти на данни, чиито данни се обработват от дружеството.

(2) Основните права на субекта на данни по отношение на неговите данни, които правната рамка постановява и дружеството спазва, са както следва:

1. Право на достъп;

2. Право на коригиране;

3. Право на изтриване(право “да бъдеш забравен”);

4. Право на ограничаване на обработването;

5. Право на възражение;

6. Право да не бъдеш субект на автоматизирано вземане на решение;

7. Право на пренос на данни.

Чл. 2. (1). Правото на достъп на Субекта на данни представлява правото да получи от „Аргусо“ ЕООД, в качеството му на администратор, потвърждение дали се обработват лични данни, свързани с него и ако това е така да получи достъп до личните си данни и следната информация:

– цели на обработването;

– съответните категории лични данни;

– категории получатели, пред които са или ще бъдат разкрити личните данни;

– предвидения срок, за който ще се съхраняват личните данни, а ако това е неприложимо, критериите, използвани за определяне на този срок;

– съществуването на правото да се изиска от дружеството коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данни, или да се направи възражение срещу такова обработване;

– правото на жалба до надзорен орган;

– когато личните данни не се събират от субекта на данни, всякаква налична информация за техния източник;

– съществуването на автоматизирано вземане на решение, включително профилиране, както и съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данни;

Чл. 3. Субектът на данни има право да поиска от „Аргусо“ ЕООД  личните му данни да бъдат коригирани, ако са неточни или непълни. Във всеки един случай, когато е налице грешка в обработваните от Дружеството данни, то е длъжно да уважи такова искане, като в тези случаи трябва да уведоми и останалите получатели, на които са разкрити тези данни, за да могат и те да отразят промяната.

Чл. 4. Субектът на данни има право на изтриване (право “да бъдеш забравен”) на данните му ако:

– данните вече не са необходими за първоначалната цел и не съществува нова законосъобразна цел;                                                                                                                                                          

– законното основание за обработването е съгласие на субекта на данни и той оттегли това съгласие, и липсва друго правно основание за обработване;                                                            – субектът на данни възразява срещу обработването на данни и липсва друго правно основание за обработване;               

– личните данни са били обработвани незаконосъобразно;

– личните данни трябва да бъдат изтрити с цел спазване на правно задължение, произтичащо от законодателство, което се прилага спрямо дружеството;                                                              

– личните данни са събрани във връзка с предлагане на услуги на информационното общество на субект на данни

– дете;   

Чл. 5. Правото на изтриване на данните на субекта на данни не следва да се прилага от дружеството, доколкото обработването е необходимо:                                                                     

– за спазване от дружеството на правно задължение, предвидено в законодателството, което изисква обработване на данните;                                                                                                           

– за установяването, упражняването или защитата на правни претенции.

Чл. 6. (1). Субектът на данни има право да изиска от дружествотo да ограничи обработването на данните му в следните случаи:

– точността на личните данни се оспорва от субекта на данни, за срока, който ни позволява да извършим проверка на точността на личните данни;

– когато обработването е неправомерно, но субектът на данни не желае личните му данни да бъдат изтрити, а изисква вместо това да ограничим използването им;

– когато дружеството не се нуждае повече от личните данни за целите на обработването, но субектът на данни ги изисква за установяването, упражняването или за защитата на правни претенции;

– субектът на данни е възразил срещу обработването и е в очакване на проверка от страна на дружеството дали законните ни основания имат преимущество пред неговите интереси.

(2). Когато обработването на данни е ограничено съгласно условията на ал. 1, такива данни се обработват, с изключение на съхранението им, само със  съгласието на субекта на данни или в случай на необходимост от установяването, упражняването или защитата на правни претенции или за защитата на правата на други физически лица или поради важни основания от обществен интерес.

(3). Когато субектът на данни е упражнил правата си за коригиране, изтриване или ограничаване на обработването и дружеството съответно е коригирало записите, се задължава да съобщи за тези свои действия на всеки получател, на който личните данни са били разкрити, освен ако това е невъзможно или изисква несъразмерно големи усилия.

Чл.7. Субектът на данни има право по всяко време на възражение срещу обработване на личните му данни, отнасящи се до него, което се основава на обработването, необходимо за целите на легитимния интерес на дружеството. В този случай „Аргусо“ ЕООД  може да не прекрати обработването на данните при наличие на законови основания за обработването им, които имат предимство пред интересите, правата и свободите на субекта на данни или за установяване, упражняване или защитата на правни претенции.

Чл.8.  Когато субектът на данни възрази срещу обработването на личните му данни за целите на директния маркетинг дружеството прекратява обработването им за тази цел.

Чл. 9. Субектът на данни има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включително профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга. Това правило не се прилага ако решението е необходимо за сключване или изпълнение на договор между дружеството и субекта на данни.

Чл. 10. (1). Субектът на данни има право да получи личните данни, които го засягат и които той е предоставил на дружеството в структуриран, широко използван и пригоден за машинно четене формат и има право да прехвърли тези данни на друг администратор.

(2). Когато упражнява правото си на преносимост на данни, субектът на данни има право да получи пряко прехвърляне от страна