1. ОТНОСНО ТАЗИ ПОЛИТИКА

SC RHEIN VISION SRL е задължен, като част от своята социална отговорност, да спазва международното право за защита на данните, Регламент (ЕС) 2016/679 относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО. Тази политика се основава на действащото европейско законодателство и румънските директиви за защита на данните. Защитата на данните е основа за доверителни отношения – както на ниво служители, така и за взаимоотношения с бизнес партньори.

Тази директива съдържа преглед на най-важните разпоредби за защита на данните, които трябва да се спазват от ръководството и служителите в рамките на RHEIN VISION. Процедурата за защита на данните RHEIN VISION е достъпна и за всички служители за информация и обяснения по темата за защитата на данните.

2. ТЕРМИНИ И ОПРЕДЕЛЕНИЯ

Приложимите разпоредби за защита на данните (наричани по-долу: Закон за защита на данните) използват собствена терминология. Това позволява кратки обяснения в текста и подобрява четивността.

В тази политика за защита на данните използваме следните термини:

Лични данни – всяка информация, свързана с идентифицирано или идентифицируемо физическо лице („субект на данни”). Идентифицируемо физическо лице е лице, което може да бъде идентифицирано, пряко или косвено, по-специално чрез позоваване на идентификатор като име, идентификационен номер, данни за местоположение, онлайн идентификатор или на един или повече фактори, специфични за физическата, генетичната, психическата, икономическата, културната или социалната идентичност на това физическо лице.

Законът за защита на данните се отнася до използването на „лични данни”, т.е. всяка информация за физическо лице, чиято самоличност е посочена или може да бъде определена. Такава информация може да бъде име, дата на раждане, адрес, телефонен номер, IP адрес и др. Подробности за общото поведение или навици на дадено лице (напр. ценностни преценки), както и снимки и изображения, записани от камера за наблюдение, също са лични данни.

Следователно, когато информацията може да бъде приписана на физическо лице, трябва да се приеме прилагането на закона за защита на данните.

  • Заинтересованото лице –всяко физическо лице, чиито данни се обработват.

Обработка на данни – Обработка на лични данни означава всяка процедура, със или без помощта на автоматизирани процеси, за събиране, съхранение, организиране, промяна, извличане, използване, предаване, разпространение или комбиниране и съпоставяне на данни. Това включва също премахване, изтриване и блокиране на данни и администратори на данни.

  • Обработка – стр.обработка, преработване, съхранение, адаптиране или промяна, извличане, консултиране, използване, обработване, разкриване чрез предаване, разпространение или предоставяне по друг начин, подравняване или комбиниране, ограничаване, изтриване или унищожаване.
  • Ограничаване на обработката – rОграничаването на обработката е маркиране на съхраняваните лични данни с цел ограничаване на обработката им в бъдеще.
  • Профилиране – стр.Профилиране означава всяка форма на автоматизирано обработване на лични данни, състояща се в използването на лични данни за оценка на определени лични аспекти, свързани с физическо лице, по-специално за анализ или прогнозиране на аспекти от работата, икономическото състояние, здравето, личните предпочитания, интересите, надеждността, поведението, местоположението или движенията на физическото лице.
  • Псевдоним – обработване на лични данни по такъв начин, че личните данни вече не могат да бъдат свързани с конкретен субект на данни без използването на допълнителна информация, при условие че тази допълнителна информация се съхранява отделно и е предмет на технически и организационни мерки, гарантиращи, че личните данни не се свързват с идентифицирано или идентифицируемо физическо лице.
  • Администратор или лице, отговорно за обработването – физическото или юридическото лице, публичният орган, агенцията или друга структура, която самостоятелно или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за такова обработване се определят от правото на Съюза или на държавата членка, администраторът или специфичните критерии за неговото назначаване могат да бъдат предвидени в правото на Съюза или на държавата членка.
  • Процесор – физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора.
  • Получател – Получател, физическо или юридическо лице, публичен орган, агенция или друг орган, на когото се разкриват лични данни, независимо дали е трета страна или не. Публичните органи, които могат да получават лични данни в контекста на конкретно разследване в съответствие с правото на Съюза или на държава членка, обаче не се считат за получатели; обработването на такива данни от тези публични органи е в съответствие с приложимите правила за защита на данните в съответствие с целите на обработването.
  • Трета страна – физическо или юридическо лице, публичен орган, агенция или структура, различни от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или обработващия лични данни са упълномощени да обработват лични данни.
  • Съгласие – всяко конкретно, информирано и недвусмислено указание за волята на субекта на данните, чрез което той или тя, чрез изявление или ясно утвърдително действие, изразява съгласие за обработването на лични данни, които го/я отнасят до него/нея.

Съгласието е писмено изявление, изготвено на ясен и разбираем език. Субектът на данните е информиран, че има право да оттегли съгласието си по всяко време. Оттеглянето на съгласието не засяга законосъобразността на обработването, извършено въз основа на съгласието преди неговото оттегляне.

Ако се обработват и лични данни на непълнолетни лица на субектите на данни, се изисква съгласие на непълнолетни над 16 години; в случай на други, настойникът е този, който дава съгласието.

  • Бисквитки –текстови файлове, които се съхраняват в компютърна система чрез интернет браузър.

Много уебсайтове и сървъри използват „бисквитки“. Много „бисквитки“ съдържат идентификатор на „бисквитка“. Идентификаторът на „бисквитка“ е уникален идентификатор за „бисквитката“. Той се състои от низ от знаци, чрез който уебсайтовете и сървърите могат да бъдат присвоени на интернет браузъра, в който е съхранена „бисквитката“. Това позволява на посетените уебсайтове и сървъри да различават отделния браузър на субекта на данните от други интернет браузъри, които съдържат други „бисквитки“. Конкретен интернет браузър може да бъде разпознат и идентифициран с помощта на уникалния идентификатор на „бисквитката“.

Чрез използването на „бисквитки“ можем да предложим на потребителите на този уебсайт по-удобни за ползване услуги, които не биха били възможни без предварителна настройка.

Чрез „бисквитка“ информацията и офертите на нашия уебсайт могат да бъдат оптимизирани за потребителя. „Бисквитките“ ни позволяват, както бе споменато по-горе, да разпознаваме потребителите на нашия уебсайт. Целта на това разпознаване е да улесним потребителите в използването на нашия уебсайт. Потребителят на уебсайта, който използва „бисквитки“, например не е необходимо да въвежда данни за достъп всеки път, когато осъществява достъп до уебсайта, тъй като те се поемат от уебсайта и по този начин „бисквитката“ се съхранява в компютърната система на потребителя.

Инцидент, свързан със защитата на данните – събитие, при което има основателно съмнение, че лични данни са били открити, събрани, променени, копирани, предадени или използвани незаконно. Това може да се отнася до действия, извършени както от трети страни, така и от служители.

3. ПРИНЦИПИ ЗА ОБРАБОТКА НА ЛИЧНИ ДАННИ

  • Справедливост и законност

Личните данни трябва да бъдат събирани и обработвани законосъобразно.

  • Обхват

Обработването на лични данни може да преследва само целите, за които са били събрани. Промени в целите със задна дата са възможни само в определени граници и изискват обосновка.

  • Прозрачност

Субектът на данните трябва да бъде информиран за обработката на неговите/нейните данни. По принцип личните данни трябва да се събират от самия субект на данните. При събирането на данните субектът на данните трябва поне да е наясно със следното или да бъде информиран съответно:

  • самоличността на отговорния орган
  • цел на обработката на данни
  • определени периоди на съхранение
  • трети страни или категории трети страни, на които се предават данните

Администраторът предоставя на субекта на данните информация за предприетите действия по искане без ненужно забавяне и във всички случаи не по-късно от един месец от получаването на искането. Този срок може да бъде удължен с два месеца, когато е необходимо, като се вземат предвид сложността и броят на исканията. Администраторът информира субекта на данните за всяко такова удължаване в рамките на един месец от получаването на искането, като посочва причините за забавянето. Когато субектът на данните подава искане в електронен формат, информацията се предоставя в електронен формат, когато е възможно, освен ако субектът на данните не поиска друг формат.

Ако администраторът не предприеме действия по искането на субекта на данните, той информира субекта на данните, без ненужно забавяне и не по-късно от един месец от получаване на искането, за причините за непредприемането на действия и за възможността за подаване на жалба до надзорен орган и за търсене на съдебна защита.

Когато исканията от субект на данни са явно неоснователни или прекомерни, по-специално поради повтарящия се характер, администраторът може:

а) или да начисли разумна такса, като вземе предвид административните разходи за предоставяне на информацията или съобщението или за предприемане на поисканото действие;

(б) или да откаже да изпълни искането.

В тези случаи администраторът носи тежестта да докаже, че искането е явно неоснователно или прекомерно. Администраторът може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните.

Информацията, която трябва да бъде предоставена на субектите на данни, може да бъде предоставена в комбинация със стандартизирани пиктограми, за да се осигури смислен преглед на планираното обработване по лесно видим, разбираем и ясно четлив начин. Когато пиктограмите са представени в електронен формат, те трябва да са машинночетими.

  • Избягване на данни и икономика на данните

Преди обработката на лични данни трябва да се провери дали и до каква степен е необходимо за постигане на целта, свързана с обработването. Ако е възможно за постигане на целта и мярката е подходяща спрямо предвиденото предназначение, следва да се използват анонимизирани или статистически данни. Личните данни не могат да се съхраняват за бъдещи цели, освен ако това не е предписано или разрешено от националното законодателство.

  • Ограничение за изтриване и съхранение

Личните данни, които вече не са необходими след изтичане на законоустановените срокове за съхранение, трябва да бъдат изтрити. Ако в отделни случаи съществуват основания за интереси, заслужаващи защита, данните трябва да останат съхранявани, докато интересът, заслужаващ защита, не бъде правно изяснен.

  • Точност на процеса за защита на данните

Съхраняваните лични данни трябва да бъдат точни, пълни и – доколкото е необходимо – актуализирани. Трябва да се предприемат подходящи мерки, за да се гарантира, че неподходящите, непълни или остарели данни се изтриват, коригират, допълват или актуализират.

  • Поверителност и сигурност на данните

Поверителността се отнася за личните данни. Те трябва да се третират поверително и да бъдат защитени чрез подходящи организационни и технически мерки срещу неоторизиран достъп, незаконна обработка или предаване, както и случайна загуба, промяна или унищожаване.

4. ДОПУСТИМОСТ НА ОБРАБОТКА НА ДАННИ / ОБСТОЯТЕЛСТВА НА ДОПУСКАНЕ

Събирането, обработката и използването на лични данни е разрешено само ако е налице едно от посочените по-долу обстоятелства за разрешаване. 

  • Обработка на данни за договорни отношения

Личните данни на клиента, доставчика или друг бизнес партньор могат да бъдат обработвани за целите, изпълнението и изпълнението на договор. В така наречената фаза на иницииране на договор (изготвяне на оферта, контакт със заинтересовани страни с помощта на предоставените от тях данни) обработката на лични данни е разрешена.

  • Споразумение за обработка на данни

Обработването на данни може да се извършва със съгласието на засегнатото лице. Преди да даде съгласие, Субектът на данните трябва да бъде информиран за разпоредбите. Декларацията за съгласие трябва да бъде дадена писмено или по електронен път, по доказателствени причини. При определени обстоятелства, например телефонна консултация, съгласието може да бъде предоставено и в устна форма. Издаването му трябва да бъде документирано.

ЗАБЕЛЕЖКА! Съгласието може да бъде оттеглено по всяко време от лицето, за което се обработват лични данни.

  • Обработка на данни въз основа на законово разрешение

Обработването на лични данни е разрешено и ако националните законови разпоредби изискват, изискват или разрешават обработката на данни. Видът и обхватът на обработката на данните трябва да са необходими за законосъобразната обработка на данните и да са ориентирани към тези разпоредби.

  • Обработка на данни въз основа на легитимен интерес

Обработването на лични данни може да се извършва и ако е необходимо за преследването на легитимен интерес на дружеството. Обработването на лични данни въз основа на легитимен интерес не може да се извършва, ако в отделен случай са налице основания за защита на интересите на засегнатото лице, които надвишават интереса от обработването. Заслужаващите защита интереси трябва да бъдат проверени и документирани за всяко обработване.

  • Обработка на специални категории лични данни

Обработването на такива лични данни, особено на чувствителни данни, може да се извършва само ако това се изисква по закон или ако субектът на данните е дал изрично съгласие за това. Обработването на такива данни е разрешено и ако е абсолютно необходимо за установяването, упражняването или защитата на правни претенции срещу субекта на данните.

  • Автоматизирани индивидуални решения

Автоматизираната обработка на лични данни, чрез която се оценяват индивидуалните лични характеристики, не може да бъде единственото основание за решения с отрицателни правни последици или значителни компромиси за Субекта на данните. Субектът на данните трябва да бъде информиран за факта и резултата от автоматизирано индивидуално решение и да му бъде дадена възможност да направи изявление. За да се избегнат неправилни решения, трябва да се осигури контрол и проверка за правдоподобност от служител.

  • Потребителски данни и интернет

Ако лични данни се събират, обработват и използват на уебсайтове, засегнатите лица се информират за това в декларации за защита на данните и, където е приложимо, в известия за „бисквитки“. Защитата на данните и, където е приложимо, известията за „бисквитки“ трябва да бъдат интегрирани по такъв начин, че да са лесно разпознаваеми, достъпни и на разположение на Субекта на данните по всяко време.

Ако се съставят профили на употреба (проследяване), за да се оцени поведението при употреба на уебсайтове и приложения, засегнатите лица трябва във всички случаи да бъдат информирани в декларациите за защита на данните. Ако проследяването се извършва под псевдоним, Субектът на данните трябва да има възможност да възрази (откаже се) в декларациите за защита на данните.

  • Обработка на данни за трудовото правоотношение

За трудовото правоотношение могат да се обработват лични данни, които са необходими за сключването, изпълнението и прекратяването на трудовия договор.

При започване на трудово правоотношение могат да бъдат обработвани лични данни на кандидатите. В случай на отхвърляне на кандидата, данните на кандидата трябва да бъдат изтрити, като се вземат предвид законовите изпитателни срокове, освен ако кандидатът не е дал съгласие за по-нататъшно съхранение за последващ процес на подбор.

В съществуващото трудово правоотношение обработването на данни винаги трябва да е свързано с целта на трудовия договор, доколкото не се прилага едно от следните условия за разрешение за обработване на данни.

При започване на трудовото правоотношение или в рамките на съществуващо трудово правоотношение, ако е необходимо да се събере допълнителна информация за кандидата от трета страна, трябва да се вземат предвид съответните законови разпоредби. В случай на съмнение, трябва да се поиска съгласие от субекта на данните.

  • Обработка на данни въз основа на законово разрешение

Обработването на лични данни на служителите е разрешено и ако националните правни директиви изискват, изискват или разрешават обработката на данни. Видът и обхватът на обработката на данни трябва да са необходими за законосъобразната обработка на данните и да са ориентирани към тези разпоредби. Ако е налице правна свобода, трябва да се вземат предвид интересите на служителя, заслужаващи защита.

(1) Обработването е законосъобразно само ако и доколкото е налице поне едно от следните условия:

а) субектът на данните е дал съгласие за обработването на личните му данни за една или повече конкретни цели;

б) обработването е необходимо за изпълнението на договор, по който субектът на данните е страна, или за да се предприемат стъпки по искане на субекта на данните преди сключването на договор;

(в) обработването е необходимо за спазване на правно задължение, на което е подчинен администраторът;

(г) обработването е необходимо за защита на жизненоважните интереси на субекта на данните или на друго физическо лице;

д) обработването е необходимо за изпълнението на задача, осъществявана в обществен интерес или при упражняване на официални правомощия, предоставени на администратора;

е) обработването е необходимо за целите на законните интереси, преследвани от администратора или от трета страна, освен когато интересите или основните права и свободи на субекта на данните имат предимство пред тези интереси и изискват защита на личните данни, по-специално когато субектът на данните е дете.

  • Колективни разпоредби за обработка на данни

Ако обработването надхвърля целта на изпълнението на договора, то е разрешено, ако е предвидено в колективен правилник. Колективните правилници са колективни трудови договори или споразумения между работодатели и представители на работниците в контекста на възможностите на съответното трудово право. Правилникът трябва да се разпростира до конкретната цел на поисканото обработване и може да бъде установен във връзка с националното законодателство за защита на данните.

  • Съгласие за обработка на данни

Обработката на данни на служителите може да се извършва със съгласието на засегнатото лице. Декларациите за съгласие трябва да бъдат дадени доброволно. Неволните споразумения са невалидни. Декларацията за съгласие трябва да бъде дадена писмено или по електронен път, по доказателствени причини. Ако обстоятелствата не позволяват това като изключение, съгласието може да бъде дадено в устна форма. Съгласието трябва във всички случаи да бъде надлежно документирано. В случай на доброволно информирано деклариране на данни от Субекта на данните, може да се приеме съгласие, ако националното законодателство не предвижда изрично съгласие. Преди даване на съгласие, Субектът на данните трябва да бъде информиран в съответствие с настоящите насоки за защита на данните.

  • Обработка на данни въз основа на законен интерес

Обработването на лични данни на служителите може да се извършва и ако е необходимо за постигане на легитимен интерес на дружеството. Легитимните интереси обикновено се основават на правни (напр. установяване, упражняване или защита на правни претенции) или търговски причини.

Обработването на лични данни въз основа на легитимен интерес не може да се извършва, ако в отделен случай има основания да се смята, че интересите на служителя, заслужаващи защита, надвишават интереса от обработването. Наличието на легитимен интерес трябва да се проверява за всяко обработване.

Контролни мерки, които изискват обработка на данни на служителите, могат да се прилагат само ако има законово задължение или основателна причина. Дори в случай на основателна причина, пропорционалността на контролната мярка трябва да се провери. Законните интереси на дружеството при прилагането на контролната мярка (напр. спазване на законови директиви и вътрешни фирмени правила) трябва да бъдат балансирани с евентуален законен интерес на служителя, засегнат от мярката, и могат да се прилагат само ако са пропорционални. Законният интерес на дружеството и евентуалните законни интереси на служителите трябва да бъдат установени и документирани преди всяка мярка. Освен това, всички други изисквания, съществуващи в съответствие с националното законодателство, трябва да се вземат предвид.

  • Обработка на данни, заслужаващи защита

Компания не обработва лични данни, които разкриват расов или етнически произходполитически възгледифилософски убеждения или членство в синдикати и обработка на генетични данни, данни за сексуален живот или сексуална ориентация на физическо лице.

Здравните данни на служителите се обработват от доставчика на здравни услуги; компанията е информирана за годността/негодността на субекта на данните да извършва дейност. Тълкуването на здравните данни се обработва от компанията, със съгласието на служителя. Обработването е необходимо за цели, свързани с превантивната или трудовата медицина, за оценка на трудоспособността на служителя.

Също така, данните за осъдителни присъди (напр. криминални досиета) често могат да се обработват само при специални условия, определени в националното законодателство.

Обработването трябва да бъде изрично разрешено или предписано съгласно националното законодателство. Освен това, обработването може да бъде разрешено, ако е необходимо, за да може отговорното лице да изпълнява своите права и задължения в областта на трудовото право.

  • Автоматизирани решения

Доколкото трудовото правоотношение включва автоматизирана обработка на данни, чрез които се оценяват индивидуалните личностни черти (напр. като част от подбора на персонал или оценката на квалификационните профили), такава автоматизирана обработка не може да бъде единственото основание за решения с отрицателни или значителни последици.

За да се избегнат неправилни решения, при автоматизираните процедури трябва да се гарантира, че физическо лице извършва оценка на фактическото съдържание и че тази оценка е основата за решението. Засегнатият служител трябва да бъде информиран за факта и резултата от автоматизираното индивидуално решение и да му бъде дадена възможност да направи изявление.

  • Телекомуникации и интернет

Телефонните системи, имейл адресите, интранет и интернет, както и вътрешните социални мрежи, се предоставят на първо място от компанията за целите на фирмените задачи. Те представляват опорни средства за работа и фирмен ресурс. Те могат да се използват в съответствие с приложимите законови разпоредби и вътрешните фирмени насоки.

Извършва се общо наблюдение на телефонната и имейл комуникацията, както и на използването на интранет и интернет. За да се предотвратят атаки срещу ИТ инфраструктурата или срещу отделни потребители, в мрежовите интерфейси на компанията са внедрени защитни мерки, които блокират технически вредно съдържание или анализират модели на атака. От съображения за сигурност и проследимост се документира използването на телефонни системи, имейл адреси, интранет, интернет и вътрешни социални мрежи.

Лични оценки на тези данни могат да се извършват само в случай на конкретно и обосновано съмнение за нарушение на закони или фирмени насоки. Тези проверки могат да се извършват само в съответствие с принципа на пропорционалност. Националните закони трябва да се спазват във връзка със съществуващите фирмени разпоредби.

5. ПРЕДАВАНЕ НА ЛИЧНИ ДАННИ

Предаването на лични данни на получатели извън RHEIN VISION е предмет на условията за разрешение за обработка на лични данни. Получателят на данните е задължен да ги използва само за посочените цели.

В случай на прехвърляне на данни към получател извън групата дружества в трета държава, получателят трябва да осигури ниво на сигурност на данните, еквивалентно на този регламент за защита на данните. Това не важи, ако прехвърлянето се дължи на правно задължение.

В случай на предаване на данни от трети страни към групата дружества, трябва да се гарантира, че данните могат да бъдат използвани по предназначение.

6. РАЗПРЕДЕЛЕНО ОБРАБОТВАНЕ (в случай на прехвърляне, прехвърляне, сливане и др.)

Възлагането на обработка на лични данни на външни изпълнители е когато на изпълнител е поверено обработването на лични данни, без да се прехвърля отговорността за свързания с това бизнес процес. В тези случаи с външните изпълнители трябва да се сключи договор за обработка на данни на външни изпълнители.

Възложителят носи пълна отговорност за правилното извършване на обработката на данните. Изпълнителят може да обработва лични данни само във връзка с инструкциите на изпълнителя.

  1. Изпълнителят трябва да бъде избран въз основа на неговата пригодност да осигури необходимите технически и организационни мерки за защита.
  2. Заданието трябва да бъде издадено в писмена форма. Инструкциите за обработка на данните и отговорностите на изпълнителя и изпълнителя трябва да бъдат документирани.
  3. Преди да започне обработката на данни, изпълнителят трябва да бъде убеден, че задълженията са изпълнени. Спазването на изискванията за сигурност на данните може да бъде доказано от изпълнителя, по-специално чрез представяне на подходящ сертификат. В зависимост от риска от обработката на данни, проверката трябва да се повтаря редовно, ако е необходимо по време на договорния период.
  4. В случай на обработка на данни за трансгранична задача, трябва да бъдат спазени съответните национални изисквания за предаване на лични данни в чужбина. По-специално, обработката на лични данни от Европейското икономическо пространство в трета държава може да се извършва само ако изпълнителят може да докаже ниво на сигурност на данните, еквивалентно на тази Директива за защита на данните.

7. ПРАВА НА СУБЕКТА НА ДАННИТЕ

Всяко засегнато лице може да упражни следните права. Предявяването на искането му ще бъде обработено незабавно от отговорния орган и не може да доведе до каквито и да било неблагоприятни последици за субекта на данните.

  1. Субектът на данните може да поиска информация за това кои лични данни от кой източник се съхраняват и за каква цел. Ако в трудовото правоотношение са предвидени допълнителни права за достъп до документите на работодателя (напр. служебно досие), те не са засегнати.
  2. Ако лични данни се предават на трети страни, трябва да се предостави и информация за самоличността на получателя или категориите получатели.
  3. Ако личните данни са неверни или непълни, Субектът на данните може да поиска тяхното коригиране или допълване.
  4. Субектът на данните може да възрази срещу обработването на личните му данни за целите на реклама или пазарни проучвания и анкети. Данните трябва да бъдат блокирани за тези цели.
  5. Субектът на данните има право да поиска изтриване на данните си, ако правното основание за обработването им липсва или вече не е приложимо. Същото важи и ако целта на обработването на данните вече не е приложима поради изтичане на време или по други причини. Трябва да се вземат предвид съществуващите задължения за съхранение и интереси, заслужаващи защита, които надделяват над изтриването.
  6. Субектът на данните има основното право да възрази срещу обработването на своите данни, което трябва да се вземе предвид, ако неговият законен интерес от защита надделява над интереса от обработването поради конкретна лична ситуация. Това не важи, ако обработването се изисква от законова разпоредба.

8. ПОВЕРИТЕЛНОСТ НА ОБРАБОТКАТА

Личните данни са предмет на поверителност. Неразрешеното събиране, обработка или използване от служители е забранено.

Всяка обработка, извършвана от служител, без да е надлежно упълномощен и упълномощен да я прави при изпълнение на своите задачи, се счита за неразрешена. Прилага се принципът „необходимост да се знае“: на служителите може да се предостави достъп до лични данни само ако и до степента, необходима за съответните им задачи. Това изисква внимателно разпределение и разделяне на ролите и отговорностите, както и тяхното прилагане и поддържане като част от концепциите за оторизация.

Служителите нямат право да използват лични данни за лични или търговски цели, да ги предават на неупълномощени лица или да ги правят достъпни по какъвто и да е друг начин.

9. СИГУРНОСТ НА ОБРАБОТКАТА

Личните данни трябва да бъдат защитени по всяко време срещу неоторизиран достъп, незаконна обработка или предаване, както и срещу загуба, фалшифициране или унищожаване. Това важи независимо от това дали обработката на данните е електронна или на хартиен носител. Преди въвеждането на нови процедури за обработка на данни, по-специално нови ИТ системи, трябва да се установят и прилагат технически и организационни мерки за защита на личните данни. Тези мерки трябва да са съобразени със съвременните технологии, рисковете, свързани с обработката, и изискванията за защита на данните (определени от процеса на класифициране на информацията).

Като се вземат предвид текущото състояние на разработката, разходите за внедряване и естеството, обхватът, контекстът и целите на обработването, както и риска с различна степен на вероятност и тежест за правата и свободите на физическите лица, администраторът и обработващият лични данни прилагат подходящи технически и организационни мерки, за да осигурят ниво на сигурност, подходящо за този риск, включително, inter alia, когато е приложимо:

а) псевдонимизация и криптиране на лични данни;

б) способността да се гарантира непрекъснатата поверителност, целостта, наличността и устойчивостта на системите и услугите за обработка;

(в) възможността за своевременно възстановяване на наличността и достъпа до лични данни в случай на физически или технически инцидент;

г) процес за периодично тестване, оценяване и преценка на ефективността на техническите и организационните мерки за гарантиране на сигурността на обработването.

Техническите и организационните мерки за защита на личните данни са част от управлението на информационната сигурност и защитата на данните в цялата компания и трябва непрекъснато да се адаптират към техническите разработки и организационните промени.

10. КОНТРОЛ НА ЗАЩИТАТА НА ДАННИТЕ

Спазването на директивите за защита на данните и приложимите закони за защита на данните се проверява редовно чрез одити за защита на данните и допълнителни проверки.

Резултатите от одитите за защита на данните трябва да бъдат съобщени на ръководството.

11. ИНЦИДЕНТ, СЪС ЗАЩИТА НА ДАННИТЕ

Всеки служител трябва незабавно да информира длъжностното лице по защита на данните за всяко нарушение на тази Директива за защита на данните или други разпоредби за защита на личните данни (инциденти, свързани със защитата на данните). Уведомлението може да бъде изпратено по имейл на dpo@rhein-vision.com в случаи на:

  • незаконно предаване на лични данни на трети страни,
  • незаконен достъп на трети страни до лични данни или
  • загуба на лични данни

Уведомленията в компанията трябва да се правят незабавно, за да могат да бъдат изпълнени съществуващите задължения за докладване на инциденти, свързани със защитата на данните, в съответствие с националното законодателство.

Уведомяване на надзорния орган в случай на нарушение на сигурността на лични данни

При нарушение на сигурността на лични данни, администраторът уведомява за нарушението на сигурността на личните данни компетентния надзорен орган съгласно член 55 без ненужно забавяне и, когато е възможно, не по-късно от 72 часа след като е узнал за него, освен ако е вероятно то да доведе до риск за правата и свободите на физическите лица. Когато уведомлението не е направено в рамките на 72 часа, то се придружава от мотивирано обяснение от надзорния орган.

Обработващият лични данни уведомява администратора без ненужно забавяне, след като узнае за нарушение на сигурността на личните данни.

Уведомлението, посочено в параграф:

а) описва естеството на нарушението на сигурността на личните данни, включително, когато е възможно, категориите и приблизителния брой на засегнатите субекти на данни, както и категориите и приблизителния брой на засегнатите записи на лични данни;

б) съобщава името и данните за контакт на длъжностното лице по защита на данните или друга точка за контакт, от която може да се получи допълнителна информация;

(в) описва вероятните последици от нарушението на сигурността на личните данни;

(г) описва мерките, предприети или предложени да бъдат предприети от администратора за отстраняване на нарушението на сигурността на личните данни, включително, когато е приложимо, мерки за смекчаване на евентуалните му неблагоприятни последици.

(4) когато и доколкото не е възможно информацията да се предостави едновременно, тя може да бъде предоставена на няколко етапа, без ненужно забавяне.

(5) Администраторът води записи за всички нарушения на сигурността на личните данни, включително описание на фактическите обстоятелства, при които е възникнало нарушението на сигурността на личните данни, неговите последици и предприетите коригиращи мерки. Тази документация позволява на надзорния орган да провери спазването на този член.

12. ОТГОВОРНОСТИ И САНКЦИИ

Ръководството е отговорно за обработката на личните данни в съответствие с директивата.

Следователно то е длъжно да гарантира спазването на законовите изисквания за защита на данните (напр. национални задължения за докладване).

В случай на проверки за защита на данните от страна на властите, длъжностното лице по защита на данните трябва да бъде незабавно уведомено.

Ръководството е назначило длъжностно лице по защита на данните. Длъжностното лице по защита на данните може да извършва проверки и е длъжно да запознава служителите със съдържанието на насоките за защита на данните. Ръководството е длъжно да подпомага координатора по защита на данните в изпълнението на неговата задача.

Ръководството трябва да гарантира, че служителите са информирани в необходимата степен относно защитата на данните. Неправилната обработка на лични данни или други нарушения на законодателството за защита на данните имат правни последици в много страни и могат да доведат до искове за обезщетение. Нарушения, за които отделни служители са отговорни, могат да доведат до дисциплинарни мерки.

13. ДЛЪЖНОСТНО ЛИЦЕ ПО ЗАЩИТА НА ДАННИТЕ

Като специализирана вътрешна структура, длъжностното лице по защита на данните осигурява спазването на разпоредбите за защита на данните. То е отговорно за наблюдението на спазването на разпоредбите за защита на данните. Длъжностното лице по защита на данните незабавно информира ръководството за рисковете за сигурността на данните.

Всяко засегнато лице може да се свърже с длъжностното лице по защита на данните с предложения, въпроси, искания за информация или оплаквания относно проблеми със защитата на данните или сигурността на данните. Исканията и оплакванията се обработват поверително при поискване.

14. IMPLEMENTARE

Този документ трябва да бъде достъпен за всички заинтересовани лица.