Политика за защита на личните данни

 ПОЛИТИКА

ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

НА „ПЛАСТИК СОФИЯ" ООД

I. ВЪВЕДЕНИЕ

ПЛАСТИК СОФИЯ ООД, (Пластик София, „Дружеството“) сЕИК 130349076, e търговско дружество със седалище и адрес на управление: гр. София1510, район Подуяне, ул. „Стефан Консулов“ № 12.

 

ПЛАСТИК СОФИЯ е администратор на лични данни по смисъла на РЕГЛАМЕНТ (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общия регламент за защита на данните).

 

При осъществяване на търговската си дейност ПЛАСТИК СОФИЯ се ангажира да обработва лични данни при стриктно спазване на нормите на Общия регламент за защита на данните и Закона за защита на личните данни (ЗЗЛД).

В изпълнение на ангажимента си да осигури пълно съответствие със законодателството на Европейския съюз (ЕС) и Република България относно обработването на лични данни, ПЛАСТИК СОФИЯ приема настоящата ПОЛИТИКА за защита на личните данни, която е приложима към всички извършвани дейности по обработване на лични данни извършване в дружеството.

Тази ПОЛИТИКА се прилага по отношение на всички обработвани от ПЛАСТИК СОФИЯ лични данни, включително лични данни на клиенти, служители, кандидати за работа, доставчици, подизпълнители, партньори.

Настоящата ПОЛИТИКА за защита на личните данни е задължителна и следва да се спазва от всички служители, които работят с или за ПЛАСТИК СОФИЯ , които имат или могат да имат достъп до обработваните от  дружеството лични данни.

II. ОПРЕДЕЛЕНИЯ

Чл. 1. По смисъла на Общия регламент за защита на данните и за целите на настоящата политика за защита на личните данни, посочените по-долу понятия имат следното значение:

1. Лични данни - всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано (субект на данни); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

2. Специални категории лични данни - лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице;

3. Здравна информация са лични данни, свързани със здравословното състояние, физическото и психическото здраве на лицата, включително предоставянето на здравни услуги, които дават информация за здравословното състояние на физическото лице.

4. Обработване - операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

5. Администратор - физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

6. Обработващ лични данни - физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

7. Субект на данни - физическо лице, което е идентифицирано или което може да бъде идентифицирано въз основа на определена информация;

8. Получател - физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на ЕС или правото на държава членка, не се считат за получатели; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

9. Трета страна - физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, който под прякото ръководство на администратора или на обработващия лични данни има право да обработва лични данни;

10. Нарушение на сигурността на лични данни -  означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.

11. Надзорен орган означава Комисията за защита на личните данни в Република България.

 

III. ПРИНЦИПИ, СВЪРЗАНИ С ОБРАБОТВАНЕТО НА ЛИЧНИ ДАННИ

Чл. 2. ПЛАСТИК СОФИЯ обработва лични данни в съответствие с принципите, свързани с обработването на лични данни, уредени в чл. 5 от Общия регламент за защита на данните, а именно:

1.                   Законосъобразност, добросъвестност и прозрачност- ПЛАСТИК СОФИЯобработва лични данни при спазване на повелителните норми на Общия регламент за защита на данните и ЗЗЛД, честно и открито.
2.                   Ограничение на целите – ПЛАСТИК СОФИЯобработва лични данни само за конкретни, изрично указани и законни цели и не ги обработва по-нататък по начин, несъвместим с тези цели.

 

3.                   Свеждане на данните до минимум - ПЛАСТИК СОФИЯ обработва лични данни, ограничени до необходимост във връзка с целите, за които се обработват. ПЛАСТИК СОФИЯ събира и обработва само минимум необходимите лични данни на физически лица, които:

•                     са предвидени в закон;
•                     са нужни за изпълняване на договор;
•                     са нужни за изпълняване на целите, за които се събират.

4.                   Събрани лични данни се обработват за други цели само след съгласие на лицата

Във всички случаи, когато е необходимо събрани и обработвани лични данни на физически лица да се използват за цели различни от първоначалните, ПЛАСТИК СОФИЯуведомява съответните физически лица, иска тяхното съгласие и пристъпва към обработка на техните лични данни за други цели, само след тяхното изрично съгласие.

5.                   Точност и актуалност - Съхраняваните от ПЛАСТИК СОФИЯ лични данни се поддържат точно и в актуален вид, като  се предприемат всички разумни мерки, за да се гарантира своевременното коригиране на неточни лични данни.
6.                   Ограничение на съхранението - ПЛАСТИК СОФИЯ съхранява лични данни във форма, която позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни.
7.                   Цялостност и поверителност - ПЛАСТИК СОФИЯ обработва лични данни по начин, който гарантира подходящо ниво на тяхната сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като прилага подходящи технически или организационни мерки.
8.                   Отчетност - ПЛАСТИК СОФИЯ носи отговорност и е в състояние да докаже, че спазва задълженията си във връзка с обработването на лични данни.

 

IV. КАТЕГОРИИ СУБЕКТИ НА ДАННИ И КАТЕГОРИИ ЛИЧНИ ДАННИ

 

Чл. 3. (1) Дружеството събира, съхранява и обработва лични данни на следните категории субекти:

1.                   Клиенти – ПЛАСТИК СОФИЯсъбира лични данни директно от клиентите само в изрични случаи, когато обработването е необходимо за изпълнението на договор при предоставяне на предлаганите услуги, както и при предоставено изрично съгласие от тяхна страна. Личните данни, които обикновено се обработват във връзка с изпълнение на сключените договори и въз основа на изрично изразено съгласие са следните:  

 

2.                   Идентификационни данни/данни за физическата идентичност: име, презиме и фамилия; контакти: електронна поща, телефон, адрес - постоянен или настоящ; 

 

3.                   Банкови данни –в случаите, когато се сключва договор за покупко-продажба от разстояние чрез интернет магазина и клиентът е избрал да заплати за продуктите чрез банков превод;

 

(2) Гореизброените данни могат да бъдат събирани чрез различни способи, като например: директна комуникация, чрез уеб страницата на ПЛАСТИК СОФИЯ , по телефон, по ел. поща и т.н.

(3) В случай, че ПЛАСТИК СОФИЯ реши да обработва данни на субекти за маркетингови цели, то предприема необходимите мерки, за да получи предварително информирано съгласие от субекта на данни.

4.                   Кандидати за работа

•        Обикновени лични данни: Информация, съдържаща се в CV/автобиография на кандидата, като имена на лицето, данни за контакт (телефонен номер и електронна поща), копия от документи за професионална и образователна квалификация и др.
•            Специална категория лични данни: Когато това се налага, с оглед на нормативните изисквания към медицински и други специалисти, кандидати за определена свободна работна позиция, е възможно от лицето да бъде изискана допълнителна информация, включително специални категории данни, като чувствителни лични данни (свидетелство за съдимост например). В тези случаи, ПЛАСТИК СОФИЯинформира лицето за конкретното нормативно основание, въз основа на което информацията трябва да бъде предоставена, както и за последствията от непредоставянето ѝ.

5.                   Персонал - ПЛАСТИК СОФИЯ събира следните категории лични данни от служителите си:

•        Обикновени лични данни: имена, ЕГН, паспортни данни, образование и квалификации, професия, трудов стаж, трудовото възнаграждение, данни за банкова сметка и други;
•        Специална категория лични данни: информация за здравен статус, съдържаща се в медицинско удостоверение за започване на работа, болнични листове, документи, удостоверяващи трайна неработоспособност и/или други документи, необходими съгласно приложимото законодателство за съответната длъжност или с оглед упражняване на специфични права на служителя.

В общия случай, ПЛАСТИК СОФИЯ не обработва лични данни на служители въз основа на съгласие, а във връзка с изпълнение на задълженията му като работодател по сключените трудови договори. Въпреки това е възможно, в определени ситуации съгласието да е необходимо, когато същото се изисква според приложимото законодателство, включително за обработването на специална категория лични данни.

 

 

6.                   Интернет потребители

            На основната интернет страница https://www.plastic-sofia,comна ПЛАСТИК СОФИЯ , се използват „бисквитки”.

            Поради това следните данни, могат да бъдат събирани, чрез уебсайта на ПЛАСТИК СОФИЯ : данни за доставчика, операционна система, вид на браузера, име на домейн, IP адрес на устройството, час на посещение на страницата, интернет страница, от която потребителят е препратен чрез линк до страницата на  ПЛАСТИК СОФИЯ , интернет страниците, от които потребителят е търсил, час и дата на търсенето; при използване формата за контакт на сайта се събират имена на лицето, телефон за контакт, адрес на електронната поща, както и допълнителни данни, които лицето само ако пожелае да предостави с цел да получи отговор на зададен въпрос или информация, която е получил.

На страницата на ПЛАСТИК СОФИЯ има форма за контакт. При попълване на формата за контакт, потребителят предоставя следната информация: име и фамилия, телефон, електронна поща.

 

7.                   Бизнес партньори и доставчици

ПЛАСТИК СОФИЯ обработва лични данни на физически лица, които представляват (по закон или по пълномощие) или работят за бизнес партньори, доставчици на ПЛАСТИК СОФИЯ . Поради това, и доколкото е допустимо в процеса на обичайната търговска дейност, когато обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за предприемане на стъпки по искане на субекта на данните преди сключването на договор, ПЛАСТИК СОФИЯ може да обработва следните категории лични данни:

• Обикновени лични данни: Имена, адрес, телефон, електронен адрес и други данни,които са относими в конкретния случай.

V. ЗАДЪЛЖЕНИЕ ЗА ЗАКОНОСЪОБРАЗНО И ДОБРОСЪВЕСТНО

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

 

чл. 4. ПЛАСТИК СОФИЯ установява основанието за обработване на личните данни по чл. 6, параграф 1 от Общия регламент за защита на данните (съгласие на субекта на данните, изпълнение на задължение по договор, спазване на законово задължение, защита на жизненоважни интереси на субекта на данните или на друго физическо лице, изпълнението на задача от обществен интерес или при упражняването на официални правомощия, легитимни интереси на администратора или на трета страна).

 

Чл. 5. ПЛАСТИК СОФИЯ извършва само дейности по обработване на лични данни, за които е налице някое от основанията по чл. 6, параграф 1 от Общия регламент за защита на данните.

 

VI. ЗАДЪЛЖЕНИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ ЗА КОНКРЕТНИ ЦЕЛИ

 

Чл. 6. Обработването на лични данни се извършва в изпълнение на договорни задължения или на основание дадено от клиента изрично съгласие за това.

 

Чл. 7. (1) При осъществяване на търговската си дейност ПЛАСТИК СОФИЯ събира и използва категории лични данни, посочени в регистъра на дейностите по обработване на лични данни по чл. 30, параграф 1 от Общия РЕГЛАМЕНТ за защита на данните. ПЛАСТИК СОФИЯ получава лични данни пряко от субекта на данни  (например при кореспонденция по имейл, телефон или други средства за комуникация) или от други източници (например от партньори, подизпълнители, доставчици на платежни услуги и др.).

 

(2) ПЛАСТИК СОФИЯ обработва лични данни само за конкретни и изрично указани цели, посочени в регистъра на дейностите по обработване на лични данни по чл. 30, параграф 1 от Общия регламент за защита на данните, а именно:

•            За изпълнение на договорите, сключвани или в процес на сключване между ПЛАСТИК СОФИЯ и неговите клиенти;
•            за регистрация на клиента и съответно за отчетност;
•            когато това е необходимо за защита на легитимни интереси на ПЛАСТИК СОФИЯ или трето лице, при условието, че легитимни интереси и основни права и свободи на субекта на личните данни нямат преимущество над тези легитимни интереси;
•            за актуална информация за контакт със субекта на данни;
•            за предоставяне на информация, включително маркетингова комуникация чрез избраните от клиента канали (електронна поща, телефон и др.).

(3) В случай, че се наложи данни на субекта да бъдат използвани за цел, несъвместима с първоначалната, ПЛАСТИК СОФИЯ го уведомява своевременно и му разяснява каква е законовата основа, която позволява данните да бъдат използвани и с тази нова цел.

(4) ПЛАСТИК СОФИЯ предоставя на субектите на данни възможност да изберат дали да споделят своите лични данни с дружеството, в случаите когато обработката на личните данни се осъществява въз основа на изричното съгласие на субекта. В случай че субектът на данни възрази на обработването от страна на ПЛАСТИК СОФИЯ на личните данни, дружеството уважава този избор в съответствие със законовите си задължения. Възражението може да означава, че ПЛАСТИК СОФИЯ няма да има възможност да осъществява дейностите, необходими за изпълнението на описаните по-горе цели. То може да означава и че е възможно субектът да не може да се ползва от предлаганите от ПЛАСТИК СОФИЯ услуги и продукти, ако не му предостави лична информация за себе си или в случай, че след като субектът на данни е предоставил тази информация, възрази на обработването й от страна на ПЛАСТИК СОФИЯ .

VII. ЗАДЪЛЖЕНИЕ ЗА УВЕДОМЯВАНЕ НА СУБЕКТА НА ДАННИТЕ

 

Чл. 8. В изпълнение на задълженията си по чл. 12, 13 и 14 от Общия регламент за защита на данните ПЛАСТИК СОФИЯ предоставя на субекта на данните разбираема и лесно достъпна информация относно личните данни, които обработва.

 

Чл. 9. (1) В случай, че ПЛАСТИК СОФИЯ получава лични данни пряко от субекта на данни,  до знанието на субекта на данни се свежда съобщение  за поверителност в подходяща форма, съдържаща ясен, опростен и разбираем език и включващ следната информация:

 

а) данните, които идентифицират ПЛАСТИК СОФИЯ и координатите за връзка с ПЛАСТИК СОФИЯ , а когато е приложимо и тези на представителя на ПЛАСТИК СОФИЯ;

б) координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

в) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

г) когато обработването се извършва въз основа на член 6, параграф 1, б. „е)“ от Общия регламент за защита на данните (легитимни интереси на ПЛАСТИК СОФИЯ или на трета страна), законните интереси, преследвани от ПЛАСТИК СОФИЯ или от трета страна;

д) получателите или категориите получатели на личните данни, ако има такива;

е) когато е приложимо, намерението на ПЛАСТИК СОФИЯ да предаде личните данни на трета държава или на международна организация, както и наличието или отсъствието на решение на Европейската комисия (ЕК) относно адекватното ниво на защита или в случай на предаване на данни съгласно посоченото в членове 46 или 47, или член 49, параграф 1, ал. 2 от Общия регламент за защита на данните позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични;

ж) срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

з) съществуването на право да се изиска от ПЛАСТИК СОФИЯ достъп до лични данни, коригиране или изтриване на лични данни или ограничаване на обработването на лични данни, свързани със субекта на данните, или право да се направи възражение срещу обработването, както и правото на преносимост на данните;

и) когато обработването се основава на съгласие на субекта на данните, съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

й) правото на жалба до Комисията за защита на личните данни (КЗЛД);

д) дали предоставянето на лични данни е задължително или договорно изискване, или изискване, необходимо за сключването на договор, както и дали субектът на данните е длъжен да предостави личните данни и евентуалните последствия, ако тези данни не бъдат предоставени;

е) съществуването на автоматизирано вземане на решения, включително профилиране, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

(2) В случай, че ПЛАСТИК СОФИЯ получава лични данни от други източници, различни от субекта на данни, до знанието на субекта на данни се свежда съобщение  за поверителност в подходяща форма, съдържаща ясен, опростен и разбираем език и включващ информацията по предходната точка, както и информация за съответните категории лични данни, както и източника на личните данни и, ако е приложимо, дали данните са от публично достъпен източник.  Съобщението  за поверителност се свежда до знанието на субекта на данни в разумен срок, след получаването на личните данни, но най-късно до 1 (един) месец или най-късно при осъществяване на контакт със субекта данните или при разкриване на личните данни пред друг получател за първи път.

 

VIII. ЗАДЪЛЖЕНИЕ ЗА АДЕКВАТНО, РЕЛЕВАНТНО И

ОГРАНИЧЕНО ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

 

Чл. 10. ПЛАСТИК СОФИЯ събира лични данни в рамките на необходимото за целта на обработването, сведена до знанието на субекта на данните.

IX. ЗАДЪЛЖЕНИЕ ЗА ОБРАБОТВАНЕ НА ТОЧНИ И АКТУАЛНИ ЛИЧНИ ДАННИ

 

Чл. 11. (1) ПЛАСТИК СОФИЯ събира точни лични данни и осигурява своевременната им актуализация.

(2) При получаване на лични данни, служителите на ПЛАСТИК СОФИЯ, ангажирани в процеса по събиране на лични данни, извършват проверка за точността на предоставените на ПЛАСТИК СОФИЯ лични данни.

(3) Съхраняваните от ПЛАСТИК СОФИЯ лични данни се преглеждат периодично, като в дружеството са приети правила за поддържане на точност и актуалност на личните данни.

(4) ПЛАСТИК СОФИЯ е приело правила за обработка на заявленията за корекция на личните данни от страна на субекта на данните.

(5) Всички доставчици, подизпълнители, партньори, служители, които работят с или за ПЛАСТИК СОФИЯ, както и трети лица, които предоставят лични данни на дружеството, са длъжни да уведомяват за всяка промяна в предоставените от тях лични данни.

X. ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАНИ НА СУБЕКТА НА ТРЕТИ ЛИЦА

Чл. 12. Лични данни може да бъдат споделени с различни категории получатели. Така например, при изпълнение на законови задължения за администратора, лични данни могат да бъдат предоставени на Национална агенция за приходите, Национален осигурителен институт, Изпълнителна агенция „Главна инспекция по труда“, на компетентни правоохранителни, правоприлагащи органи, както и на други държавни органи и учреждения.

Чл. 13. ПЛАСТИК СОФИЯ предава данни на други физически/юридически лица, които му предоставят определен вид стока или услуга, включително услуги по информационно поддържане и сигурност на IT системите, счетоводно обслужване, архив и правно обслужване, лаборатории и други. В тези случаи, ПЛАСТИК СОФИЯ сключва писмено споразумение с конкретния доставчик на услугата, който е предоставил достатъчно гаранции за прилагане на подходящи технически и организационни мерки по такъв начин, че обработването да протича в съответствие с изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 и да осигурява защита на правата на субектите на данни.

Чл. 14. ПЛАСТИК СОФИЯ поддържа партньорски отношения с други независими администратори на лични данни. Във връзка с тези партньорски отношения е възможно страните да споделят помежду си определени данни. В тези случаи, ПЛАСТИК СОФИЯ информира по подходящ начин субектите на данни за тези категории получатели, както и сключва допълнително споразумение със съответния независим администратор, с което гарантира поверителността и конфиденциалността на личните данни, които се споделят.

Чл. 15. Когато е налице фигурата на съвместни администратори между ПЛАСТИК СОФИЯ и трето лице администратор, те определят по прозрачен начин съответните си отговорности за изпълнение на задълженията по Регламент (ЕС) 2016/679 посредством договореност помежду си.

XI. МЕЖДУНАРОДЕН ТРАНСФЕР НА ЛИЧНИ ДАННИ - ПРЕДАВАНЕ

НА ЛИЧНИ ДАННИ НА ТРЕТИ СТРАНИ ИЗВЪН ЕС И ЕИП

 

Чл. 16. (1) ПЛАСТИК СОФИЯ предава лични данни на трети страни извън Европейския съюз и Европейското икономическо пространство само при спазване на изискванията на РЕГЛАМЕНТ (ЕС) 2016/679 и по-специално на тези, разписани в глава V от него.

(2) Ако все пак възникне случай на необходимост от трансфер на лични данни, то предаването се извършва въз основа на решение на Европейската комисия относно адекватното ниво на защита, което осигурява въпросната трета страна. При липса на такова решение на Европейската комисия, предаването на трета страна може да се извърши само ако са налице подходящи гаранции и при условие, че са налице приложими права на субектите на данни и ефективни правни средства за защита. Подходящи гаранции представляват стандартни клаузи за защита на личните данни включени в споразумения за обработка на личните данни сключени между ПЛАСТИК СОФИЯ и съответната трета страна.

(3) Алтернативно, предаване на лични данни към трета страна, може да се извърши и след дадено изрично съгласие на субекта на данните или когато са налице други основания, посочени в член 49, параграф 1 от Регламент (ЕС) 2016/679.

XII. ЗАДЪЛЖЕНИЕ ЗА ОГРАНИЧАВАНЕ НА

 СЪХРАНЕНИЕТО НА ЛИЧНИ ДАННИ

 

Чл. 17.(1) ПЛАСТИК СОФИЯ съхранява лични данни само за срок, не по-дълъг от необходимото за целите, за които се обработват личните данни.

(2) След изтичане на срока на съхранение ПЛАСТИК СОФИЯ осигурява тяхното надлежно унищожаване или изтриване по установен ред.

 

Чл. 18. Срокове за съхранение на лични данни във ПЛАСТИК СОФИЯ са следните:

•        Лични данни на клиенти се съхраняват за максимален срок от 10 (десет) години.
•        Личните данни на служители, съдържащи се в трудово-осигурителната документация, се съхраняват за срок от 50 (петдесет) години в съответствие със Закона за националния архивен фонд, Закона за счетоводството, Кодекса за социално осигуряване и Данъчноосигурителния процесуален кодекс;
•        Личните данни на кандидати за работа, които не са одобрени за назначаване в ПЛАСТИК СОФИЯсе съхраняват за срок не по-дълго от 6 (шест) месеца от приключване на процедурата, след което се връщат на лицето или се унищожават по подходящ начин. Личните данни може да се съхраняват за по-дълъг период с цел отправяне на предложения за работа само при наличие на предоставено съгласие от кандидата за работа;
•        Лични данни, съдържащи се в счетоводни документи се съхраняват в сроковете по член 12 от Закона за счетоводството.
•        Наред с тези основни срокове, ПЛАСТИК СОФИЯ е утвърдило своя политика за определяне на сроковете за съхранение и унищожаване на документацията.

XIII. ЗАДЪЛЖЕНИЕ ЗА ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

В СЪОТВЕТСТВИЕ С ПРАВАТА НА СУБЕКТА НА ДАННИТЕ

 

Чл. 19. ПЛАСТИК СОФИЯ обработва лични данни, като осигурява упражняване на правата на субекта на данните, а именно:

1.         право на информация за съхраняваните от ПЛАСТИК СОФИЯ негови лични данни и получаване на копие от съхраняваните негови лични данни (право на достъп);
2.         право на коригиране на неговите лични данни, ако същите са неточни или неактуални;
3.         право на изтриване на неговите лични данни, ако е приложимо (право „да бъдеш забравен“);
4.         право на ограничаване на обработването на неговите лични данни;
5.         право на оттегляне на съгласието за обработване на неговите лични данни, ако е приложимо;
6.         право на преносимост на неговите лични данни (да ги получи или да бъдат прехвърлени на друг администратор на лични данни в структуриран, широко използван и пригоден за машинно четене формат), ако е приложимо;
7.         право неговите лични данни да не бъдат обект на автоматизирано взети решения, които да го засягат в значителна степен, без възможност за човешка намеса;
8.         право на възражение срещу обработването на неговите лични данни, ако е приложимо;
9.         право на жалба срещу обработването на неговите лични данни пред Комисията за защита на личните данни (КЗЛД) – гр. София, 1592, бул. „Проф. Цветан Лазаров“ № 2 или на адрес www.cpdp.bg.

 

XIV. ЗАДЪЛЖЕНИЕ ЗА ОТЧЕТНОСТ ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

 

Чл. 20. В качеството си на администратор на лични данни ПЛАСТИК СОФИЯ създава и поддържа регистър на дейностите по обработване на лични данни по чл. 30, параграф 1 от Общия регламент за защита на данните, по утвърден образец, който съдържа следната информация:

а) дейност по обработване на личните данни;

б) цел на обработването на личните данни;

в) основание за обработване на личните данни;

г) категория субекти на личните данни;

д) категории лични данни;

е) източник на личните данни;

ж) срок на съхранение на личните данни;

з) получатели на личните данни;

и) автоматизирано вземане на решения/профилиране;

й) организационни и технически мерки за защита;

к) име на държавата или международната организация при предаване на лични данни;

л) гаранции при предаване на лични данни към трети държави или международни организации;

м) съвместни администратори;

н) обработващ личните данни.

Чл. 21. (1) В случаите, в които е необходимо, ПЛАСТИК СОФИЯ извършва оценка на въздействието върху защитата на личните данни, като вземе предвид всички обстоятелства, свързани с дейностите по обработване на лични данни. Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, ПЛАСТИК СОФИЯ извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни. Когато е целесъобразно, ПЛАСТИК СОФИЯ се обръща към субектите на данните или техните представители за становище относно планираното обработване, без да се засяга защитата на търговските си или обществените интереси или сигурността на операциите по обработване.

(2) Оценката съдържа най-малко:

a) опис на предвидените операции по обработване и целите на обработването, включително, ако е приложимо, преследвания от ПЛАСТИК СОФИЯ законен интерес;

б) оценка на необходимостта и пропорционалността на операциите по обработване по отношение на целите;

в) оценка на рисковете за правата и свободите на субектите на данни;

г) мерките, предвидени за справяне с евентуални рисковете, включително гаранциите, мерките за сигурност и механизмите за осигуряване на защитата на личните данни, като се вземат предвид правата и законните интереси на субектите на данни и на други заинтересовани лица.

(3) Когато в резултат на оценката на въздействието върху защитата на личните данни стане ясно, чеПЛАСТИК СОФИЯ ще започне да обработва лични данни, които поради висок риск биха могли да причинят вреди на субектите на данни, решението дали обработването да продължи или не, трябва да бъде предадено за преглед от страна на управителя на дружеството.

(4) ПЛАСТИК СОФИЯ доказва изпълнение на задълженията си във връзка с обработването на лични данни посредством документиране на основните процеси по обработване на лични данни, приемане и прилагане на правила и процедури за обработване на лични данни, както и посредством присъединяване към кодекси за поведение, внедряване на подходящи технически и организационни мерки, приемане на техники по защита на личните данни на етапа на проектирането и защита на личните данни по подразбиране, оценка на въздействието върху защитата на личните данни и др.

 

 

XV. ЗАДЪЛЖЕНИЕ ЗА ГАРАНТИРАНЕ НА СИГУРНОСТ

 ПРИ ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ

 

Чл. 22.При определянето на това доколко уместно е обработването ПЛАСТИК СОФИЯразглежда степента на евентуална вреда или загуба, която може да бъде причинена на субекта на данните, ако възникне нарушение на сигурността, както и всяка вероятна вреда за репутацията на дружеството, включително евентуална загуба на доверие на клиентите.

Чл. 23. (1) При оценяването на подходящи технически мерки за гарантиране на сигурността при обработване на лични данни,ПЛАСТИК СОФИЯ анализира следните обстоятелства:

а) предвидени защити чрез въвеждане на парола;

б) наличието на автоматично заключване на бездействащи работни станции в мрежата;

в) премахване на права на достъп за USB и други преносими носители с памет;

г) антивирусен софтуер и защитни стени;

д) правата за достъп;

е) защитата на устройства, които напускат помещенията на  организацията, като например преносими компютри и мобилни телефони;

ж) сигурността на локални и широко-обхватни мрежи;

з) технологии за подобряване на поверителността, като например псевдонимизиране и анонимизиране;

и) идентифициране на подходящи международни стандарти за сигурност.

(2) При оценяването на подходящите организационни мерки за гарантиране на сигурността при обработване на лични данни, ПЛАСТИК СОФИЯ взима предвид:

а) подходящо обучение на служителите на ПЛАСТИК СОФИЯ;

б) гаранции за надеждността на работниците и служителите на ПЛАСТИК СОФИЯ(например препоръки);

в) включването на задължения по отношение на защитата на личните  данни в трудовите договори на работниците и служителите на ПЛАСТИК СОФИЯ;

г) предвиждането на дисциплинарни наказания за работниците и служителите на ПЛАСТИК СОФИЯ за допуснати нарушения при обработването на лични данни;

д) редовни проверки на служителите на ПЛАСТИК СОФИЯ за спазване на съответните стандарти за сигурност;

е) упражняване на контрол върху физическия достъп до лични данни, записани на електронен носител или съдържащи се на хартия;

ж) приемането и спазването на политика на „чисто работно място“;

з) съхраняване на лични данни, съдържащи се на хартия в заключващи се стенни шкафове;

и) ограничаване на използването от страна на служителите на ПЛАСТИК СОФИЯ на мобилни електронни устройства на и извън работното място;

й) приемане и спазване на правила за създаване и ползване на защитни пароли;

к) редовно създаване на резервни копия на личните данни и физическо съхраняване на носителите с копия извън офиса;

л) включването на задължения по отношение на защитата на личните  данни в  договорите с доставчици, подизпълнители, партньори и трети лица, както и задължение за предприемане от тяхна страна на подходящи мерки за сигурност при прехвърляне на данни извън ЕС.

Чл. 24. Всички доставчици, подизпълнители, партньори, работници и служители, които работят с или за ПЛАСТИК СОФИЯ и които имат или могат да имат достъп до обработваните от дружеството лични данни, отговарят за гарантиране сигурността на съхраняването на личните данни Те са длъжни да съхраняват сигурно и да не разкриват лични данни пред трети лица, освен ако ПЛАСТИК СОФИЯ не е предоставило право на достъп до тези данни, като за целта е сключило споразумение за поверителност.

XVI. КОНФИДЕНЦИАЛНОСТ

Чл. 25. Личните данни са предмет на конфиденциалност. Забранява се служителите да извършват неразрешено събиране, обработка или използване на лични данни. Всяка обработка, извършена от служител без разрешение, която му е поверена при или по повод изпълнение на неговите задължения, е неоторизирана. Прилага се принципът "необходимост да се знае": Служителите могат да имат достъп само до лични данни, ако и доколкото това е необходимо за съответните им задачи. Това изисква внимателното разделение и отделяне на ролите и отговорностите, както и тяхното внедряване и поддръжка в рамките на обхвата на разрешителните концепции.    

Чл. 26. Служителите не са упълномощени да разкриват лични данни на неупълномощени лица или по какъвто и да е друг начин или да ги използват за лични или икономически цели. Ръководителите в Дружеството трябва да информират своите служители за задължението за защита на тайната на данните при започване на работа. Това задължение остава в сила и след приключване на трудовата заетост на съответния служител.

Чл. 27. Личните данни трябва да бъдат защитени от всякакъв неоторизиран достъп, незаконна обработка или разкриване, както и случайно изгубване, или унищожаване по всяко време. Това се прилага независимо от обработката на данните, извършена по електронен път или на хартиен носител.

Чл. 28. Преди да се приложат нови процеси или обработка на данни, особено нови информационни системи, трябва да се определят и изпълнят всички технически и организационни мерки за защита на личните данни. Тези мерки трябва да бъдат подходящи по отношение на настоящите технологични стандарти, рисковете, произтичащи от обработката и необходимостта от защита на данните (определени от процеса на класификация на информацията). Отговорният отдел може да се консултира със служителя по защита на данните на корпоративните клиенти. Техническите и организационни мерки за защита на личните данни са част от управлението на безопасността на информацията на Дружеството и трябва да бъдат непрекъснато съгласувани с техническите промени и организационните промени.

XVII. НАРУШАВАНЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

Чл. 29. В случай на нарушаване на сигурността на лични данни администраторът уведомява без ненужно забавяне и, когато е възможно, не по-късно от 72 часа след като е узнал за него, нарушението на личните данни компетентния надзорен орган в съответствие с член 55 от Общия Регламент, освен ако нарушението на личните данни е малко вероятно да доведе до риск за правата и свободите на физическите лица. Когато уведомлението до надзорния орган не бъде направено в рамките на 72 часа, то се придружава от обяснение за забавянето.

Чл. 30. (1) Обработващият лични данни уведомява администратора без неоснователно забавяне, след като е узнал за нарушение на личните данни. Горепосоченото уведомление трябва да съдържа най-малко:

1.     Да описва естеството на нарушението на сигурността на личните данни, включително, когато е възможно, категориите и приблизителния брой засегнати субекти на данни, както и категориите и приблизителния брой записи за лични данни;
2.     Да съобщава името и данните за контакт на служителя за защита на данните или на друго звено за контакт, където може да се получи повече информация;
3.     Да опише възможните последици от нарушението на личните данни;
4.     Да опише мерките, предприети или предложени да бъдат предприети от администратора за справяне с нарушаването на личните данни, включително, когато е уместно, мерки за смекчаване на евентуалните неблагоприятни последици;

(2) Когато и доколкото не е възможно да се предостави информацията по едно и също време, информацията може да бъде предоставена на етапи без неоправдано по-нататъшно забавяне.

Чл. 31. (1) Администраторът документира всякакви нарушения на сигурността на лични данни, включващи фактите, свързани с нарушението на личните данни, неговите последици и предприетите коригиращи действия. Тази документация дава възможност на надзорния орган да проверява спазването на гореспоменатите разпоредби съгласно чл. 33 Общия РЕГЛАМЕНТ.

(2) Когато нарушаването на личните данни може да доведе до висок риск за правата и свободите на физическите лица, администраторът съобщава нарушението на личните данни на субекта на данните без неоправдано забавяне.

(3) Горепосоченото съобщение до субекта на данни описва на ясен език характера на нарушението на сигурността на личните данни и най-малкото:

1.     Съобщава името и данните за контакт на служителя за защита на данните или друго звено за контакт, където може да бъде получена повече информация;
2.     Описват вероятните последици от нарушението на личните данни;
3.     Описва предприетите или предложени мерки от страна на администратора за справяне с нарушението на личните данни, включително, когато е уместно, мерки за смекчаване на евентуалните неблагоприятни последици.

(4) Горепосоченото съобщение до субекта на данните не се изисква, ако е изпълнено някое от следните условия:

1.     Администраторът е приложил подходящи технически и организационни мерки за защита и тези мерки са били приложени към личните данни, засегнати от нарушението на личните данни, и по-специално тези, които правят личните данни неразбираеми за всяко лице, което няма разрешение за достъп до тях като криптиране;
2.     Администраторът е предприел последващи мерки, които гарантират, че високият риск за правата и свободите на субектите на данни, посочени по-горе (вж. чл. 34(1) от Общия Регламент) вече не е вероятно да се материализира;
3.     То би довело до непропорционални усилия. В такъв случай вместо това трябва да има публична комуникация или подобна мярка, при която субектите на данни да бъдат информирани по еднакъв ефективен начин.

(5) Ако администраторът все още не е съобщил на субекта за нарушението на сигурността на личните данни, надзорният орган може, след като отчете каква е вероятността нарушението на сигурността на личните данни да породи висок риск, да изиска от администратора да съобщи за нарушението или да реши, че е изпълнено някое от условията посочени по-горе (както е посочено в член 34(3) от Общия Регламент).

XVI. ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Изменения и допълнения на Политиката за защита на личните данни

 

Чл. 32. ПЛАСТИК СОФИЯ запазва правото си да променя тази Политика за защита на личните данни, като при необходимост ще уведоми по подходящ начин за това всички заинтерeсовани  .

Настоящите Правила са приети и влизат в сила от 25.05.2018г.

Дата на последна актуализация 21.07. 2025 г.

Настоящата Политика за защита на личните данни е публикувана на уебсайта на ПЛАСТИК СОФИЯ, а също така е достъпна на хартиен носител в офиса на Дружеството и се предоставя на разположение на всеки субект на лични данни за надлежното му запознаване с нея.