Политика за защита на личните данни
Версия 01 / 01.01.2023 г.
I. Въведение
За Политиката за защита на личните данни на Асоциация „Енерджи“
Тази политика определя основните принципи и правила, чрез които Асоциацията обработва личните данни на служители, клиенти, доставчици, партньори, посетители на обектите на Асоциацията, потребители на уеб сайта и други лица, като посочва правата на субектите на данни, задълженията и отговорността на Асоциацията. Всички лични данни се събират и обработват в съответствие с действащото европейско и българско законодателство в областта на защитата на личните данни.
Принципът за защитата и сигурността на личните данни е основен принцип при изпълнение на процесите на Асоциацията. Неговото спазване е задължение и отговорност на всеки служител. Настоящата политика развива този принцип в конкретни правила и цели да подпомогне служителите в тяхната ежедневна работа с лични данни, така че да се избегне неговото нарушение.
Дефиниции
Дефинициите в настоящата политика са определени, съгласно Общия регламент относно защита на данните на Европейския съюз:
Лични данни: всяка информация, свързана с идентифициране на физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“);
Субект на данните: физическо лице, което може да бъде идентифицирано - пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице.
Чувствителни лични данни: Личните данни, които по своята същност са особено чувствителни по отношение на основните права и свободи, заслужават специфична защита, тъй като контекстът на тяхната обработка може да създаде значителни рискове за основните права и свободи. Тези лични данни включват лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикати, генетични данни, биометрични данни, с цел еднозначно идентифициране на физическо лице, данни относно здравето или данни, отнасящи се до пола на физическо лице, живот или сексуална ориентация.
Администратор на данни: физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.
Обработващи данни: физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
Обработване: всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
Регистър на лични данни: всеки структуриран набор от лични данни, независимо от неговия вид и носител, достъпът до които се осъществява съгласно определени критерии, независимо дали е централизиран, децентрализиран или разпределен съгласно функционален или географски принцип.
Трета страна: физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
Трансгранично обработване: a) обработване на лични данни, което се осъществява в контекста на дейностите на местата на установяване в повече от една държава членка на администратор или обработващ лични данни в Съюза, като администраторът или обработващият лични данни е установен в повече от една държава членка; или б) обработване на лични данни, което се осъществява в контекста на дейностите на едно-единствено място на установяване на администратор или обработващ лични данни в Съюза, но което засяга съществено или е вероятно да засегне съществено субекти на данни в повече от една държава членка.
Надзорен орган: независим публичен орган, създаден от държава членка съгласно член 51 на Регламента.
Основни принципи, отнасящи се до обработката на лични данни
Принципите за защита на данните очертават основните отговорности за Асоциацията, обработващи лични данни.
Законосъобразност, добросъвестност и прозрачност – личните данни се обработват в съответствие със закона, при наличие на правно основание за обработка на данните; честно и открито, а информацията относно обработваните данни е ясна, недвусмислена и откриваема.
Ограничение на целите – данните се събират и обработват за конкретни цели и не се обработват допълнително по начин, несъвместим с тези цели.
Свеждане на данните до минимум – обработваме минимум лични данни, само тези, необходими за постигане на целите на обработването.
Точност – обработваме актуални и точни данни и при необходимост ги поддържаме в актуален вид. Доколкото тези данни в повечето случай се предоставят директно от субекта на данни, молим при настъпили промени относно Вашите лични данни да ни уведомете своевременно за това.
Ограничение на съхранението във времето на личните данни.
Цялостност и поверителност – обработваме личните данни като гарантираме подходящо ниво на сигурност срещу неразрешено или незаконосъобразно обработване.
Категории лични данни
Асоциацията обработва информация относно следните категории физически лица (Субекти на данни):
Дарители физически лица (даряващи материални дарения), които подписват договор за дарение с Асоциация „ЕНЕРДЖИ“ – три имена; ЕГН или личен номер на чужденец; адрес;
Дарители физически лица (даряващи услуга или други нематериални дарения), които подписват договор за дарение на услуга с Асоциация „ЕНЕРДЖИ“ – три имена; ЕГН или личен номер на чужденец; адрес;
Партньори, извършващи дейност на Граждански договор (Специалисти) – три имена; ЕГН или личен номер на чужденец; адрес; ел. поща; банкова сметка;
Доброволци, които даряват труда си – три имена; ЕГН или личен номер на чужденец; адрес.
Данни на субекти, които кандидатстват за работа на имейл – три имена; ЕГН или личен номер на чужденец, адреси, телефон, ел. поща, образование, трудов опит и квалификации.
Данни на субекти, които сключват трудов или граждански договор – три имена; ЕГН или личен номер на чужденец, данни от документ за самоличност, адреси, ел. поща, образование, банкова сметка, други, предоставени от субекта.
Данни на субекти – Партньори – три имена; ЕГН или личен номер на чужденец, адрес, ел. поща, телефон, банкова сметка.
Данни на субекти Анкетирани, които се включват в Анкети (анонимни или не) – три имена, телефон, електронна поща.
Данни на субекти Клиенти, които записват час за консултация със специалист или са включени в различни програми на Асоциацията – три имена; ЕГН или личен номер на чужденец, адрес, телефон, ел. поща; копие от лична карта.
Администраторът обработва следните категории лични данни на физическите лица:
Данни, свързани с физическата идентичност, като ЕГН, три имена, постоянен адрес, данни по документ за самоличност, образи и изображения;
Данни, свързани с икономическата идентичност, като данни относно възнаграждение по трудов или граждански договор;
Данни, свързани със социална идентичност, като образование, предишна месторабота;
Данни, свързани със семейна идентичност, като семейно положение, ненавършили пълнолетие деца;
Данни относно здравословното състояние, като диагноза съгласно представени болнични листа, ТЕЛК/ НЕЛК решения;
Данни, свързани с присъди и нарушения, като наличие на осъждане съгласно свидетелство за съдимост.
Комуникационни данни, които включват всяко съобщение, което субектът на данни изпраща, независимо дали е чрез комуникационната форма на фирмения уебсайт, чрез имейл, съобщение или публикация в онлайн мрежата или друг вид изпратено съобщение. Асоциацията обработва тези данни с цел комуникация със субекта на данни, за водене на документация и за установяване, изпълнение или защита от правни искове. Юридическата обосновка за това обработване са легитимните интереси, в следствие на предоставяне на услуга или продукт, резултат от основната ни дейност, които в този случай са отговаряне на изпратените съобщения, водене на документация и за установяване, преследване или защита отправни искове.
Данни на клиента: включват данни, свързани с покупката на услуги и/или стоки, като например име, адрес, адрес за фактуриране(за кореспонденция), адрес за доставка, имейл адрес, данни за контакт (телефонен номер).
Маркетингови данни: включват данни, свързани с предпочитанията на субекта на данни за получаване на маркетингова информация и предпочитания от субекта на данни начин за комуникация. Такива данни се обработват и съхраняват само след изрично, недвусмислено свободно дадено съгласие.
В контекста на ползването на уебсайта и в зависимост от това в каква връзка влизате в контакт с Асоциацията, Асоциация „ЕНЕРДЖИ“ обработва информация за Вас, която би могла да се третира като лични данни по смисъла на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО („Общия регламент за защитата на данните“), доколкото може да доведе до Вашата идентификация.
В контекста на ползването на уебсайта при попълване на Формата за запитване, Администраторът обработва категориите лични данни, а именно: Вашите имена, имейл (електронен) адрес и телефонен номер.
При посещение на уебсайта, Администраторът получава технически данни за Вашето посещение, които могат да включват IP адрес, дата и час на посещение, продължителност на посещението, операционна система, използван браузер, тип устройство и количество на прехвърлените данни.
Събиране
Асоциацията се стреми да събере възможно най-малко количество лични данни. Ако личните данни се събират от трета страна, Асоциацията следва да се увери, че личните данни се събират законно.
Използване, Съхранение и Премахване
Асоциацията поддържа точността, целостта, поверителността и уместността на личните данни въз основа на целта на обработката. За целта се използват адекватни механизми за защита, предназначени за защита на личните данни, за да се предотврати открадването или злоупотребата с личните данни, и да се предотврати нарушаването на личните данни.
Оповестяване на Трети Страни
Когато Асоциацията използва услугите на доставчик или бизнес партньор (трета страна), за да обработва лични данни от негово име, администраторът извършва проверка, че този доставчик ще предостави мерки за сигурност, за да защити личните данни, които са адекватни на свързаните с тях рискове.
Асоциацията изисква по договор от доставчика или партньора да осигури същото ниво на защита на данните. Доставчикът или бизнес партньорът трябва да обработва само лични данни, необходими му, за да изпълнява своите договорни задължения към Асоциацията или по нареждане на Асоциацията, а не за други цели. Когато Асоциацията обработва лични данни съвместно с независима трета страна, Асоциацията изрично уточнява своите съответни отговорности и третата страна в съответния договор или друг правно обвързващ документ, като например Споразумение за обработка на данни от доставчиците.
Права на субектите на данни
По силата на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (“Общия регламент за защита на данните“), субектите на данни имат следните права:
право на достъп до данни – Асоциацията предоставя на субектите на данни механизъм, който им позволява да имат разумен достъп до личните си данни и да им позволява да актуализират, коригират, изтриват или предават своите лични данни, ако е приложимо или се изисква по закон.
право на коригиране на неточни или непълни лични данни
право на изтриване на данни (право “да бъдеш забравен“)При поискване, когато основанието за обработването почива на предварително дадено съгласие, субектите на данни имат правото да поискат от Асоциацията изтриването на личните им данни. С оглед това искане Асоциацията предприема необходимите действия (включително технически мерки), за да информира третите лица, които използват или обработват тези данни (Обработващия данни), да се съобразят с искането.
право на ограничаване на обработването при наличие на правен спор между администратора и физическото лице до неговото решаване и/или за установяването, упражняването или защитата на правни претенции.
право на преносимост на данните – Субектите на данни имат право да получат при поискване копие от данните, които са предоставили в структуриран формат, и да предадат тези данни на друг администратор безплатно. Служителят по защита на личните данни е отговорен да гарантира, че тези искания се обработват в рамките на един месец, не са прекомерни и не засягат правата на лични данни на други лица.
право на информираност за нарушения на сигурността – субектът на данни има право своевременно да бъде информиран за всяко нарушение на сигурността на данните
Условия за допустимост на обработването на лични данни на служители
Асоциацията може да обработва лични данни на служителите си за законни цели, които включват, но не се ограничават до:
Управление на човешките ресурси. Включва дейности по управление на човешките ресурси, извършени по време на наемане на работа или изпълнение на трудов договор, като например интервюта, срещи, прекратяване на трудовото правоотношение, оценка на работата, възнаграждения, обезщетения, обучение, услуги за служителите, здравеопазване и безопасност на труда, застраховки и други дейности, с цел управление на човешките ресурси или защита на жизненоважните интереси на служителите.
Съответствие със закона. Обработката на лични данни на служителите, за да се изпълнят правни задължения, например: разкриване на лични данни на служителите на данъчен орган, за да се спазят приложимите данъчни закони.
Известия към субектите на данни
По време на събирането или преди събирането на лични данни за всякакъв вид обработка Асоциацията информира надлежно субектите на данни за следното: видовете лични данни събраните данни, целите на обработката, методите за обработка, правата на субектите на данни по отношение на техните лични данни, периода на запазване, потенциалните международни трансфери на данни, когато данните се споделят с трети страни и мерките за сигурност на Асоциацията за защита на личните данни. Тази информация се предоставя чрез Известие за поверителност или чрез препращане към настоящата Политика, с която субектът на данни да се запознае.
Получаване на съгласие
Когато обработването на лични данни се основава на съгласието на субекта на данните или на други законови основания, Асоциацията и отговорните служители следят за запазването на такова съгласие. Компетентните служители отговарят за предоставянето на съгласието на субектите на данни, които трябва да дадат съгласието си, и информират и гарантират, че тяхното съгласие (когато съгласието се използва като законно основание за обработка) може да бъде оттеглено по всяко време.
Когато се изисква да се коригират, изменят или унищожат записите с лични данни, тези изисквания се обработват в разумен срок. Отговорният служител записва заявките и води дневник за тях.
Личните данни се обработват само за целите, за които първоначално са били събрани. В случай, че Асоциацията реши да обработва събраните лични данни за друга цел, Асоциацията ще потърси съгласието на субектите на данни в ясен и кратък срок.
Изисквания за обработка на лични данни на персонала
Всяка обработка на лични данни на служителите от отделите и физическите лица на Асоциацията трябва да бъде със законова цел и трябва да отговаря на следните изисквания:
Уведомяване на служителите
За целите на прозрачността на обработката на лични данни на служителите, когато Асоциацията събира личните данни на служител, служителят бива уведомяван за типовете данни, които се събират, целта и видовете обработка, правата на служителя и мерките за сигурност, предприети за защита на личните данни.
Дейностите по управление на човешките ресурси, като например интервюта, назначаване, прекратяване на трудовото правоотношение, присъствие, компенсация и обезщетения, услуги за служителите, здраве и безопасност на труда могат да включват обработката на чувствителни лични данни.
Събиране
При събиране на лични данни на служителите за законови цели се спазва принципа за минимизиране на данните.
Разкриване на информация на трети страни
Когато Асоциацията трябва да разкрие лични данни на служители на доставчик, партньор или друга трета страна, отговорните служители се стремят да гарантират, че доставчикът, бизнес партньорът или друга трета страна ще предостави мерки за сигурност, за да защити лични данни на служителите към свързаните рискове и ще предостави същото ниво на защита на данните като Асоциацията, чрез договор или друго споразумение.
Надзорен орган по защита на данните
Надзорният орган по защита на данните на национално ниво е Комисия за защита на личните данни. Тя следи за правилното прилагане на Регламент (ЕС) 2016/679, като всяко физическо лице, което счете, че са нарушени неговите права във връзка с обработването на личните му данни, може да подаде жалба до Комисията на следния адрес:
Гр. София, ул. “Проф. Цветан Лазаров” № 2
телефон: 02/91-53-555
електронна поща: kzld@cpdp.bg
Интернет страница: www.cpdp.bg
Нарушението на сигурността на личните данни може да доведе до висок риск за правата на засегнатите физически лица и да има значителни негативни последици, както за Асоциацията, така и за нейните служители, нарушили изискванията на приложимите нормативни актове и на вътрешните правила на Асоциацията. Поради това всяко неспазване на тази политика се третира като сериозно нарушение.