Политика за защита на личните данни

ВРЪЗКА КЪМ ДОКУМЕНТ

РЕЗЮМЕ, версия 02 / 2026 г.

За Политиката за защита на личните данни на Асоциация „Енерджи“

Тази политика определя основните принципи и правила, чрез които Асоциацията обработва личните данни на служители, клиенти, доставчици, партньори, посетители на обектите на Асоциацията, потребители на уеб сайта и други лица, като посочва правата на субектите на данни, задълженията и отговорността на Асоциацията. Всички лични данни се събират и обработват в съответствие с действащото европейско и българско законодателство в областта на защитата на личните данни.

Принципът за защитата и сигурността на личните данни е основен принцип при изпълнение на процесите на Асоциацията. Неговото спазване е задължение и отговорност на всеки служител. Настоящата политика развива този принцип в конкретни правила и цели да подпомогне служителите в тяхната ежедневна работа с лични данни, така че да се избегне неговото нарушение.

Дефиниции

Дефинициите в настоящата политика са определени, съгласно Общия регламент относно защита на данните на Европейския съюз:

Лични данни: всяка информация, свързана с идентифициране на физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“);

Субект на данните: физическо лице, което може да бъде идентифицирано - пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.

Чувствителни лични данни: Личните данни, които по своята същност са особено чувствителни по отношение на основните права и свободи, заслужават специфична защита, тъй като контекстът на тяхната обработка може да създаде значителни рискове за основните права и свободи. Тези лични данни включват лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикати, генетични данни, биометрични данни, с цел еднозначно идентифициране на физическо лице, данни относно здравето или данни, отнасящи се до пола на физическо лице, живот или сексуална ориентация.

Администратор на данни: физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка. Администратор на данни в конкретния случай е ВКБООН - The UN Refugee Agency (UNHCR), с който ЕНЕРДЖИ има подписано партньорско споразумение и Споразумение за защита на данните (Data Protection Agreement), при спазване на Стандартите на ООН за защита на личните данни.

Обработващи данни: физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора. По силата на партньорското споразумение с ВКБООН, ЕНЕРДЖИ е юридическото лице, което обработва лични данни.

Обработване: всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.

Регистър на лични данни: всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.

Трета страна: физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

Трансгранично обработване: a) обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или б)  обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка.

Надзорен орган: независим публичен орган, създаден от държава членка съгласно член 51 на Регламента.

Основни принципи, отнасящи се до обработката на лични данни

Принципите за защита на данните очертават основните отговорности за Асоциацията, обработващи лични данни.

Законосъобразност, добросъвестност и прозрачност – личните данни се обработват в съответствие със закона, при наличие на правно основание за обработка на данните; честно и открито, а информацията относно обработваните данни е ясна, недвусмислена и откриваема.

Ограничение на целите – данните се събират и обработват за конкретни цели и не се обработват допълнително по начин, несъвместим с тези цели.

Свеждане на данните до минимум – обработваме минимум лични данни, само тези, необходими за постигане на целите на обработването.

Точност – обработваме актуални и точни данни и при необходимост ги поддържаме в актуален вид. Доколкото тези данни в повечето случай се предоставят директно от субекта на данни, молим  при настъпили промени относно Вашите лични данни да ни уведомете своевременно за това.

Ограничение на съхранението във времето на личните данни.

Цялостност и поверителност – обработваме личните данни като гарантираме подходящо ниво на сигурност срещу неразрешено или незаконосъобразно обработване.

Категории лични данни

Асоциацията обработва информация относно следните категории физически лица (Субекти на данни):

Дарители физически лица (даряващи материални дарения) – имена; ЕГН или ЛНЧ;

Дарители физически лица (даряващи услуга или други нематериални дарения) – имена; ЕГН или ЛНЧ;

Лица, извършващи дейност на Граждански договор (Специалисти) – имена; ЕГН или ЛНЧ; адрес; ел. поща, банкова сметка, мобилен телефон;

Доброволци, които даряват труда си – имена; ЕГН или ЛНЧ.

Данни на субекти, които кандидатстват за работа на имейл – три имена; ЕГН или ЛНЧ, адреси, телефон, ел. поща, образование, трудов опит и квалификации.

Данни на субекти, които сключват трудов или граждански договор – три имена; ЕГН или ЛНЧ, данни от документ за самоличност, адреси, ел. поща, образование, банкова сметка, други, предоставени от субекта.

Данни на партньори – три имена; ЕГН или ЛНЧ, адрес, ел. поща, телефон, банкова сметка.

Данни на субекти анкетирани, които се включват в анкети (анонимни или не) – имена, възраст, телефон, електронна поща.

Данни на субекти клиенти, които записват час за консултация със специалист или са включени в различни програми на Асоциацията – имена; ЕГН или ЛНЧ, възраст, адрес, телефон, ел. поща;

Данни за клиенти ползващи услугите на Образователния или Общностния център - пълно име, дата на раждане (DOB), пол, личен идентификационен номер - ЕГН/ЛНЧ и издаден от националните власти (за временна или международна закрила), държава на произход, специфични нужди (когато е приложимо), контактни данни, всяка друга ограничена информация, релевантна за предоставяната услуга или за услугата, към която се насочва лицето.

Администраторът обработва следните категории лични данни на физическите лица:

• Данни, свързани с физическата идентичност, като ЕГН/ЛНЧ, три имена, постоянен адрес, данни по документ за самоличност, образи и изображения;

• Данни, свързани с икономическата идентичност, като данни относно възнаграждение по трудов или граждански договор;

• Данни, свързани със социална идентичност, като образование, предишна месторабота;

• Данни, свързани със семейна идентичност, като семейно положение, ненавършили пълнолетие деца;

• Данни относно здравословното състояние, като диагноза, съгласно представени болнични листи, ТЕЛК/ НЕЛК  решения;

• Данни, свързани с присъди и нарушения, като наличие на осъждане, съгласно свидетелство за съдимост.

• Комуникационни данни, които включват всяко съобщение, което субектът на данни изпраща, независимо  дали  е  чрез  комуникационната  форма  на фирмения  уебсайт,  чрез  имейл, съобщение или публикация в онлайн мрежата или друг вид изпратено съобщение. Асоциацията обработва тези данни с цел комуникация със субекта на данни, за водене на документация и  за  установяване,  изпълнение  или  защита от правни  искове. Юридическата обосновка  за  това  обработване  са  легитимните интереси, в следствие  на предоставяне  на услуга  или  продукт, резултат  от  основната  ни дейност, които  в  този  случай са  отговаряне на  изпратените  съобщения, водене  на  документация  и  за  установяване, преследване  или  защита отправни искове.

В контекста на ползването на уебсайта  и в зависимост от това в каква връзка се влиза в контакт, „ЕНЕРДЖИ“ обработва информация, която би могла да се третира като лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Общия регламент за защитата на данните“), доколкото може да доведе до идентификация.

В контекста на ползването на уебсайта при попълване на Форми за регистрация, Администраторът обработва категориите лични данни, а именно: имена, имейл (електронен) адрес и телефонен номер.

При посещение на уебсайта, Администраторът получава технически данни за посещение, които могат да включват IP адрес, дата и час на посещение, продължителност на посещението, операционна система, използван браузер, тип устройство и количество на прехвърлените данни.

Права на субектите на данни

По силата на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (“Общия регламент за защита на данните“), субектите на данни имат следните права:

• право на достъп до данни – Асоциацията предоставя на субектите на данни механизъм, който им позволява да имат разумен достъп до личните си данни и да им позволява да актуализират, коригират, изтриват или предават своите лични данни, ако е приложимо или се изисква по закон.

• право на коригиране на неточни или непълни лични данни.

• право на изтриване на данни (право “да бъдеш забравен“)При поискване, когато основанието за обработването почива на предварително дадено съгласие, субектите на данни имат правото да поискат от Асоциацията изтриването на личните им данни. С оглед това искане Асоциацията предприема необходимите действия (включително технически мерки), за да информира третите лица, които използват или обработват тези данни (Обработващия данни), да се съобразят с искането.

• право на ограничаване на обработването при наличие на правен спор между администратора и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции.

• право на преносимост на данните – Субектите на данни имат право да получат при поискване копие от данните, които са предоставили в структуриран формат, и да предадат тези данни на друг администратор безплатно. Служителят по защита на личните данни е отговорен да гарантира, че тези искания се обработват в рамките на един месец, не са прекомерни и не засягат правата на лични данни на други лица.

• право на информираност за нарушения на сигурността – субектът на данни има право своевременно да бъде информиран за всяко нарушение на сигурността на данните.

Разкриване на информация на трети страни

Когато Асоциацията трябва да разкрие лични данни на служители на доставчик, партньор или друга трета страна, отговорните служители се стремят да гарантират, че доставчикът, бизнес партньорът или друга трета страна ще предостави мерки за сигурност, за да защити лични данни на служителите към свързаните рискове и ще предостави същото ниво на защита на данните като Асоциацията, чрез договор или друго споразумение.

Надзорен орган по защита на данните

Надзорният орган по защита на данните на национално ниво е Комисия за защита на личните данни. Тя следи за правилното прилагане на Регламент (ЕС) 2016/679, като всяко физическо лице, което счете, че са нарушени неговите права във връзка с обработването на личните му данни, може да подаде жалба до Комисията на следния адрес:

Гр. София, ул. “Проф. Цветан Лазаров” № 2, телефон: 02/91-53-555 електронна поща: kzld@cpdp.bg, интернет страница: www.cpdp.bg

Нарушението на сигурността на личните данни може да доведе до висок риск за правата на засегнатите физически лица и да има значителни негативни последици, както за Асоциацията, така и за нейните служители, нарушили изискванията на приложимите нормативни актове и на вътрешните правила на Асоциацията. Поради това всяко неспазване на тази политика се третира като сериозно нарушение.