ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА СТУДИО CONTEMPO
РАЗДЕЛ І ОБЩИ ПОЛОЖЕНИЯ
Чл.1. Студио Contempo, в качеството му на Администратор на лични данни, е Дружество, регистрирано в Търговския регистър при Агенцията по вписванията, с ЕИК , със седалище и адрес на управление: град София, област София-град, п.к. 1700, ул. Акад. Стефан Младенов 76.
Чл.2. Настоящата Политика за защита на личните данни е изготвена в съответствие със Закона за защита на личните данни и подзаконовите му актове, така както се променят /”Българското законодателство”/, и изискванията на Регламент /ЕС/ 2016/679 за защита на личните данни /“GDPR”/.
Чл.3. Настоящата политика за защита на личните данни урежда как да бъдат събирани, обработвани и съхранявани личните данни на клиентите на Дружеството, така че да се гарантира неприкосновеността на личността и личния им живот, като се използват и прилагат всички подходящи технически и организационни мерки, за да не се допуска неразрешен достъп, неразрешено или злонамерено ползване, загуба или преждевременно заличаване на информация.
Чл. 4 Настоящата Политика регулира обработването на лични данни на физически лица или представители на юридически лица – клиенти на Дружеството или потенциални такива, както и на потребители на неговия уебсайт: studiocontempo.com, във връзка с предоставяните услуги, включително предоставяни чрез и достъпни на Сайта.
Чл.5. За целите на настоящата Политика понятията по-долу имат следното значение: 1. “Лични данни” – са всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано /“субект на данни/; физическо лице, което да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по – специално чрез идентификатор като име, идентификационен номер /ЕГН/, данни за местонахождение, е – мейл или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това физическо лице /пол, раса, етнически произход, политически убеждения, членство в синдикални организации, сексуална ориентация и др./.
2. “Обработване на лични данни” – е всяко действие или съвкупност от действия, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване.
3. “Администратор на лични данни” – е Дружеството, което самостоятелно или чрез възлагане обработва лични данни.
4.“Специфични признаци” – са признаците, свързани с физическа, физиологична, психическа, психологическа, икономическа, културна, социална или друга идентичност на лицето.
5. “Регистър на лични данни” – е структурирана съвкупност от лични данни, достъпна по определени критерии, съобразно вътрешните документи на Дружеството, която може да е централизирана и децентрализирана и е разпределена на функционален принцип.
6. “Съгласие на физическото лице” – е всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени.
Чл.6. Личните данни се обработват на следните принципи, предвидени в GDPR:
/а/ законосъобразно, добросъвестно и прозрачно;
/б/ ограничаване на целите – личните данни се събират за конкретни, изрично указани и легитимни цели и не се обработват по – нататък по начин, несъвместим с тези цели;
/в/ свеждане на данните до минимум – събират се само лични данни, ограничени до необходимото във връзка с целите, за които се обработват;
/г/ точност – личните данни са точни и при необходимост се поддържат в актуален вид;
/д/ ограничаване на съхраняването – личните данни са съхранявани във форма, която да позволява идентифицирането на субекта за период, не по – дълъг от необходимото за целите, за които се обработват личните данни; личните данни могат да се съхраняват за по – дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при условие, че бъдат приложени подходящи технически и организационни мерки с цел да бъдат гарантирани правата и свободите на физическите лица, чиито данни се обработват;
/е/ цялостност и поверителност – личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически и/или организационни мерки.
Чл.7. Цели на обработването на лични данни
А. Администраторът Студио Contempo събира лични данни във връзка с изпълнението на следните цели: – За изпълнение на дейности, свързани със сключване, съществуване, изменение и прекратяване на договорни отношения; разяснения относно предоставяните услуги;
– За техническо съдействие при използване на услуги от сайта на Дружеството;
– За управление на плащанията и спазване на изискванията на данъчното законодателство; – За изпълнение на изискванията на трудовото и социалното законодателство по отношение на служителите;
– За изпълнение на задълженията, произтичащи от нормативните актове за защита на личните данни (т.е. данни, произтичащи от запитвания, регулации, разследващи органи, данъчни служби, съд).
Б. Личните данни се събират за конкретни, точно определени и законни цели, а именно: – за сключване, съществуване, изменение и прекратяване на трудови/ граждански договори, за изпълнение на договори/търговски/ и преддоговорни задължения с клиенти и доставчици;
– за изготвяне и изплащане на трудови възнаграждения/ хонорари и изготвяне на фактури и плащане по тях; – за водене на счетоводна отчетност във връзка с трудовите досиета; – за доставка и/или приемане на стоки/ услуги, за комуникация във връзка с предоставяне и/или получаване на стоки/услуги и за предоставяне на свързано с тях клиентско обслужване;
– за изпълнение на задължения, предвидени в Закона за счетоводството и Данъчно-осигурителния процесуален кодекс, както и всички останали нормативни актове, регулиращи правилното и законосъобразно водене на счетоводство;
– при продажбата от разстояние, продажба извън търговския обект – за спазване на изискванията, предвидени в Закона за защита на потребителите;
– за предоставяне на информация на Комисията за защита на личните данни във връзка със задължения, предвидени в нормативната уредба за защита на личните данни – Закон за защита на личните данни, Регламент (ЕС) 2016/679 за защита на личните данни.
Чл.8. Видове лични данни:
Администраторът Студио Contempo събира лични данни както следва:
– идентификационни данни (три имена; ЕГН);
– данни за контакт (постоянен и настоящ адрес; телефон за връзка; и-мейл);
– финансова информация (банкова сметка);
– информация за законен представител или пълномощник.
Администраторът Студио Contempo може да обработва лични данни във връзка с използване на сайта на Дружеството, както следва:
– данни за използваното крайно електронно съобщително устройство, вида на устройството, използваната операционна система, IP адрес, местоположение;
– данни за предпочитание относно предлаганите стоки и услуги;
– данни от комуникация между нас и нашите клиенти – преференциални цени на услуги, удовлетвореност, оплаквания;
– данни относно посещения на сайта на Дружеството;
Чл.9. Основания за обработване на лични данни
А. За изпълнение на договор – за сключването, съществуването, изменението и прекратяването на трудови, граждански и търговски договори при прилагането и изпълнение на нормативните изисквания на Кодекса на труда, Кодекса за социално осигуряване, Данъчно – осигурителен процесуален кодекс, Закон за задълженията и договорите, Закон за счетоводството, Закон за данък върху доходите на физическите лица и други свързани нормативни актове.
Б. Законово задължение – предоставяне на информация на държавни органи и институции като НАП, НОИ /при трудови правоотношения/, банки, КЗЛД и др.; – предоставяне на информация на съд и трети лица, в производство пред съд, съобразно изискванията на приложимите към производството процесуални и материално – правни нормативни актове.
В. Изрично Съгласие В някои случаи личните данни се обработват от Администратора само след предварително писмено дадено съгласие от страна на субекта на данни. Съгласието е отделно основание за обработване на данни и целта на обработването е посочена в него. Съгласието може да бъде оттеглено от субекта на данни във всеки един момент, с което отпада основанието за продължаване на обработване на данните му. След предварително изрично съгласие се обработват данните за целите на директния маркетинг на услуги и продукти.
Г. Легитимен интерес Легитимните интереси на Дружеството, доколкото те имат преимущество над интересите или основните права и свободи на субектите на данни. Относно целите на легитимния интерес обработването е необходимо при оценка и анализ на удовлетвореността на клиентите; при информация относно предоставените услуги и резултати;при записване на часове за консултации и изисквания към тях и други въпроси, пряко свързани с предоставяните услуги.
РАЗДЕЛ ІІ ЗАЩИТА НА ЛИЧНИТЕ ДАННИ. ЗАДЪЛЖЕНИЯ НА АДМИНИСТРАТОРА.
Чл.10. Осигуряване на достъп на клиентите/потребителите на услуги до личните им данни:
/1/ Всяко физическо лице има право на достъп до отнасящи се за него лични данни. В случаите, когато при осъществяване правото на достъп на физическото лице могат да се разкрият лични данни и за трето лице, Администраторът е длъжен да предостави на съответното физическо лице достъп до частта от тях, отнасящи се само за него.
/2/ Наетите по трудови и граждански правоотношения, както и клиентите, имат право на достъп до личните им данни, които се съхраняват при Администратора. За целта лицата подават писмено заявление до Администратора, в т.ч. и по електронен път по реда на Закона за електронния документи и електронния подпис.
/3/ Заявлението съдържа името на лицето, адрес и други данни, които го идентифицират – три имена, ЕГН, длъжност и месторабота /когато е относимо/, описание на искането, предпочитана форма за предоставяне достъпа до лични данни, подпис, дата и адрес за кореспонденция, а когато заявлението се подава от упълномощено лице и нотариално заверено пълномощно. Заявлението се завежда в Регистър “Искания, сигнали и уведомления”.
/4/ Администраторът на лични данни разглежда заявлението и се произнася в срок от един месец от получаването му. Срокът може да бъде удължен от Администратора с още два месеца, когато обективно се изисква по – дълъг срок за събирането на всички искани данни и това сериозно затруднява дейността на Администратора.
Чл.11. /1/ Администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или распространение, както и от други незаконни форми на обработване.
/2/ Администраторът взема специални мерки за защита, когато обработването включва предаване на данни по електронен път.
/3/ Мерките следва да са съобразени със съвременните технологични постижения и осигуряват нивото на защита, което съответства на рисковете, свързани с обработването, и на естествено на данните, които трябва да бъдат защитени.
/4/ Администраторът е предприел и прилага следните организационни и технически мерки, а именно:
1. Помещението, в което се съхраняват хартиени и електронни записи, съдържащи лични данни са достъпни само за служители, които поради служебните си задължения трябва да имат достъп до данните;
2. Всички записи и документи, съдържащи лични данни се съхраняват в заключени шкафове;
3. Помещението, в което се съхраняват лични данни е защитено чрез заключване на вратите;
4. Компютрите, на които се съхраняват записи с лични данни, са защитени чрез антивирусни програми;
5. Използване на сигнално-охранителна техника (СОД);
6. Пожароизвестяване и автоматично пожарогасене.
/5/ В случай на нарушение на сигурността на личните данни, Администраторът, без ненужно забавяне, но не по – късно от 72 часа след като е разбрал за него, уведомява за нарушението на сигурността на личните данни Комисията за защита на личните данни /КЗЛД/, освен ако не съществува вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Ако уведомлението до КЗЛД не е подадено в срок от 72 часа от нарушението, Администраторът трябва да съобщи и причините за забавянето. Администраторът документира всяко нарушение на сигурността на личните данни, включително фактите, свързани с нарушението, последиците от него и предприетите действия за справяне с него.
/6/ Администраторът не извършва трансфер на лични данни към трети държави.
Чл.12. Предаване или разкриване на лични данни Администраторът предоставя лични данни на: А. Компетентни публични органи и институции, за които съществува нормативно изискване за предоставяне на лични данни;
Б. Банки, обслужващи плащанията, извършени от и към клиентите на Дружеството;
В. Лица, които въз основа на договор с Дружеството Студио Contempo, обработват личните данни на клиентите от негово име, и спрямо които действа политиката за поверителност на Дружеството.
РАЗДЕЛ ІІІ ПРАВА НА ФИЗИЧЕСКИТЕ ЛИЦА, ВЪВ ВРЪЗКА С ОБРАБОТВАНЕТО НА ЛИЧНИТЕ ДАННИ
Чл.13. Субектът на лични данни има следните права:
а/ право на информация – да поиска от Администратора информация дали и до каква степен се обработват личните му данни, в т.ч. целите на обработването; съответните категории лични данни; лицата, на които ще бъдат предоставени личните му данни; срока за съхранение;
б/ право на коригиране – по всяко време има право да поиска от администратора да коригира без ненужно забавяне неточните лични данни, свързани с него;
в/ право на изтриване / право “да бъдеш забравен”/ – като поиска от Администратора изтриване на свързаните с него лични данни без ненужно забавяне, а Администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:
– личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин; – даденото от физическото лице съгласие бъде оттеглено; – наличие на основателно възражение от физическото лице и липсата на законни основания за обработването на личните му данни; – личните данни са били обработвани незаконосъобразно; – личните данни трябва да бъдат изтрити с цел спазването на нормативен акт, който се прилага спрямо Администратора; – личните данни са били събрани във връзка с предлагането на услуги на информационното общество.
г/ право на ограничаване на обработването – като поиска от Администратора ограничаване на обработването, когато: – точността на личните данни се оспорва от лицето, за срок, който позволява на Администратора да провери точността на личните данни; – обработването е неправомерно, но лицето не желае личните му данни да бъдат изтрити, а изисква вместо това ограничаване на използването им; – Администраторът не се нуждае повече от личните данни за целите на обработването, но физическото лице ги изисква за установяването, упражняването или защитата на правни претенции; – физическото лице е възразило срещу обработването и се очаква проверка дали законните основания на Администратора имат преимущество пред интересите на субекта на данните. Богато обработването е ограничено такива данни се обработват, без тяхното съхранение, само със съгласието на субекта на данните или за установяването, упражняването или защитата на правни претенции или за защита на правата на друго физическо лице или поради важни основания от обществен интерес. Когато субект на лични данни е поискал ограничаване на обработването, Администраторът го информира преди отмяната на ограничаването на обработването.
д/ право на преносимост – да получи личните данни, които го засягат и които той е предоставил на Администратора, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от Администратора, на когото личните данни са предоставени, когато:
– обработването е основано на съгласие във връзка с определени цели или на договорно задължение и обработването се извършва по автоматизиран начин.
е/ право на възражение – по всяко време и на основания, свързани с неговата конкретна ситуация срещу обработването на лични данни, отнасящи се до него / когато обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия на Администратора, или обработването е за целите на легитимните интереси на Администратора или на трета страна/, включително профилиране.
Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за обработването, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции. Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни, отнасящо се до него за този вид маркетинг, което включва и профилиране, доколкото то е свързано с директния маркетинг.
Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.
ж/ право на жалба – в случай, че субектът на данни смята, че се нарушава приложимата правна норма, има право да подаде жалба пред Комисията за защита на личните данни по следния начин:
– гр. София 1592, ул. “Проф. Цветан Лазаров” №2 – деловодство – на хартиен носител; – гр. София 1592, ул. “Проф. Цветан Лазаров” №2 – с писмо, с обратна разписка; – по факс 02/ 9153523; – по и-мейл, подписан с електронен подпис – kzld@cpdp.bg
РАЗДЕЛ ІV СРОК ЗА СЪХРАНЕНИЕ
Чл.14. /1/ Срок за съхранение на личните данни:
а/ Личните данни, обработвани с цел сключване, изменение, допълнение и изпълнение на договореностите между Дружеството и неговите клиенти – за срока на действие на договора и до окончателно уреждане на всички финансови отношения между страните. Дружеството може да съхранява някои от личните данни на своите клиенти и за по-дълъг срок до изтичане на съответната погасителна давност с цел защита при евентуални претенции във връзка с изпълнение или прекратяване на договори, както и за по-дълъг срок в случай на възникнал правен спор до окончателното му решаване с влязло в сила съдебно /арбитражно решение;
б/ Личните данни, обработвани за целите на данъчно–осигурителния контрол – фактури, дебитни, кредитни известия, приемо-предавателни протоколи, договори за предоставяне на услуги/стоки се съхраняват поне 11 години след изтичане на давностния срок за погасяване на публичното вземане, освен ако приложимото законодателство не предвижда по – дълъг срок;
в/ Личните данни, обработвани с цел директен маркетинг – до изричното оттегляне на даденото съгласие за директен маркетинг или получаване на възражение за обработване на лични данни за директен маркетинг;
г/ Ведомости за заплати и трудови досиета /в т.ч. документите във връзка с възникването, съществуването, изменението и прекратяването на трудовото правоотношение/ – 50 години, считано от 1 януари на отчетния период, за който се отнасят;
д/ Счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции – 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;
е/ всички останали носители на счетоводна информация – три години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят.
ж/ документи за данъчно – осигурителен контрол – 5 години след изтичане на давностния срок за погасяване на публичното задължение, с което са свързани;
з/ искания, сигнали, уведомления – 3 години, считано от датата на въвеждане на искането, сигнала, уведомлението. Срокът може да бъде продължаван, в случай че това е необходимо за постигане на целите, за които е въведен сигналът;
и/ образ от видеонаблюдение – 30 – дневен срок след извършването им, освен в случаите, когато съдържат данни за извършено нарушение;
к/ лични данни на участници в процедури по набиране и подбор на персонала, в това число автобиографии – 6 месеца.
/2/ В срок до 30 дни след изтичане на установените по – горе срокове, личните данни се унищожават от Администратора по възможно най – бързия начин: хартиените носители – чрез шредиране, техническия носител – чрез заличаване и изтриване на съответните файлове от компютрите на Дружеството.
РАЗДЕЛ V НАРУШЕНИЯ
Чл.15. Нарушение на сигурността на данни възниква, когато личните данни, за които Студио Contempo отговаря, са засегнати от инцидент със сигурността, в резултат на който се нарушава поверителността, наличието или целостта на личните данни. В този смисъл, нарушение на данните възниква, когато има нарушение на сигурността, водещо до инцидентно или незаконно унищожаване, загуба, изменение, нерегламентирано разкриване на данни, които се предават, съхраняват или по друг начин се обработват.
РАЗДЕЛ VI ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Чл.16. Настоящата Политика подлежи на утвърждаване и свеждане до знанието на всички служители на Администратора и до назначените по граждански договори лица.
Чл. 17. Настоящата Политика влиза в сила на 01.05.2020 г.
Чл. 18. Неразделна част от настоящата политика е Приложение № 1 – Списък на служителите на Студио Contempo, запознали се с настоящата Политика за защита на личните данни.