I. Предмет, цел и обхват
При упражняване дейността си, „Агрополихим“ АД и свързаните с него дружества от същата икономическа група – „Афер България“ ЕООД, „Римакем“ ЕООД и „Зърнен терминал Варна Запад“ АД (по-нататък наричани заедно за краткост „Дружествата от Групата“ или „Администраторите“) отчитат, че за физическите лица е важно да разбират процеса на събиране, съхраняване, споделяне и използване на всяка информация, която представлява лични данни.
Дружествата от Групата, в качеството на Администратори на лични данни, по смисъла на Закона за защита на личните данни (обн. ДВ, бр. 1, 04.01.2002 г.) и Общия регламент за защита на данните – Регламент (ЕС) 2016/679 (по-нататък наричан за краткост „Регламентът“ или „ОРЗД“), се ангажират да осигурят съответствие с националното законодателство и със законодателството на ЕС по отношение на обработването на личните данни и защитата на „правата и свободите“ на лицата, чиито лични данни събират и обработват. В зависимост от ситуацията, Дружествата от Групата обработват данните в качеството и на Обработващи по смисъла на Регламента.
Една от основните цели на Дружествата от Групата е разработването и развитието на добри практики в областта на защитата на личните данни в рамките на компанията.
В съответствие със Закона за защита на личните данни и Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и свободното движение на такива данни, с настоящата политика се предоставя информация относно принципите и правилата, свързани с обработването на лични данни, правата на субектите на тези данни, начините за обработване на лични данни и средствата за защита на данните, от страна на Дружествата от Групата, както и техните задължения и отговорности в качеството им на Администратори и/или Обработващи лични данни.
Настоящата политика за защита на личните данни (по-нататък наричана за краткост „Политиката“) е част от цялостна система от мерки – технически и организационни, които се прилагат от страна на Дружествата от Групата, за да се гарантира спазване на изискванията на приложимото европейско и национално законодателство от служителите, както и от всички други физически и юридически лица, които обработват лични данни от името на Администраторите.
Неспазването на Политиката би могло да доведе до нарушаване на правата на засегнатите физически лица и до негативни последици за Администраторите.
II. Принципи, свързани с обработването и защитата на данните
Обработването на лични данни се извършва в съответствие с принципите за защита на данните, посочени в член 5 от Регламента, както следва:
1. Личните данни се обработват законосъобразно, добросъвестно и прозрачно.
1.1. Законосъобразност
Идентифицира се законово основание, преди да се пристъпи към обработване на личните данни. Законосъобразността при обработването на личните данни означава пълно съответствие на поведението на Администраторите не само със специалните разпоредби на актовете за защита на личните данни, но и с цялото действащо законодателство. Всяка обработка на лични данни се основава на валидно правно основание, което може да бъде:
- Спазване на законово задължение, което се прилага спрямо дейността на Администраторите;
- Изпълнение на договор, по който физическото лице е страна или предприемане на стъпки, по искане на физическото лице, преди сключване на договор (регулиране на пред-договорни отношения);
- Съгласие от субекта на данни за една или повече цели;
- Защита на жизненоважни интереси на субекта на данни или на друго физическо лице;
- Изпълнение на задача от обществен интерес;
- Легитимен интерес на Администраторите, освен когато пред такива интереси преимущество имат интересите или основните права и свободи на субекта на данните.
Администраторите, в качеството си на работодатели и възложители и във връзка с дейността по сключване и изпълнение на трудови договори, обработват лични данни на служители на основание приложимото трудово, осигурително и данъчно законодателство.
1.2 Добросъвестност
Добросъвестно е такова обработване на данните на лицата, което не засяга неоправдано и по негативен начин субектите на данни, като се изпълнява в пълно съответствие с моралните норми и правила и добрите нрави. Всяка информация и комуникация във връзка с обработването на личните данни трябва да бъде лесно достъпна и разбираема и да се използват ясни и недвусмислени формулировки.
1.3 Прозрачност
Изпълнението на принципа на прозрачност изисква Администраторът на данни да предоставя определена информация на субектите на данни, необходима във всеки конкретен случай и за всяка конкретна цел, по разбираем, кратък и достъпен за субекта на данни начин, независимо дали личните данни са получени директно от субектите на данни или от други източници. Принципът на прозрачност се гарантира с предоставяне на възможност за упражняване правото на информираност, правото на достъп.
Политиките за информираност на субекта на данни са регламентирани в Процедура за прозрачност при обработване на лични данни и Уведомление за поверително третиране на лични данни.
Специфичната информация, която се предоставя на субекта на данните в уведомлението за обработване на лични данни, включва:
- Данни, които идентифицират Администраторите и данните за контакт с Администраторите/ представителя на Администраторите;
- Контактите на отговорния служител по защита на данните;
- Целите на обработване, за които личните данни са предназначени, както и правното основание за това;
- Срокът, за който личните данни ще бъдат съхранявани;
- Упражняване на следните права от субекта на данни – да поиска достъп, коригиране, изтриване (право „да бъдеш забравен“), ограничаване на обработването на личните данни, както и право на възражение срещу условията или липсата на условия за тяхното упражняване съгласно правилата на ОРЗД;
- Категориите лични данни;
- Получателите или категориите получатели на лични данни;
- Където е приложимо, прехвърляне на личните данни към получател в трета страна (извън рамките на ЕС) и дали е осигурено необходимото ниво на защита на данните;
- Всякаква допълнителна информация, необходима да се гарантира добросъвестно обработване на личните данни.
2. Лични данни се събират само за конкретни, изрично указани и законни цели („ограничение на целите“).
Данните, получени за конкретни, изрично указани в съответните нормативни актове и/или договори, и/или други документи, легитимни цели, се събират и обработват само за тези цели, за които са били събрани, и които съответстват на дейностите по обработване, включени в Регистъра на дейностите по обработване на данни на Дружествата от Групата (чл. 30 ОРЗД).
3. Личните данни, които Администраторът събира, са подходящи и ограничени до необходимите за съответната цел на обработване („свеждане на данните до минимум“), като:
- Отговорният служител по защита на данните следи за събиране само на тази информация, която е строго необходима за постигане на целта на обработване;
- Формулярите за събиране на данни (електронни или на хартиен носител) включват уведомление за обработване на личните данни.
4. Личните данни трябва да бъдат точни и актуални във всеки един момент и да са положени необходимите усилия за осигуряване на възможност за тяхното незабавно (в рамките на възможните технически решения) изтриване или коригиране („точност на личните данни“).
- Данните, които се съхраняват от Администраторите на данни, се преглеждат и актуализират при необходимост. Не се съхраняват данни, в случаите, когато има вероятност да са неточни;
- Субектът на данните декларира, че данните, които предава за обработване от Дружествата от Групата са точни и актуални;
- Най-малко веднъж годишно отговорният служител по защита на данните преглежда и при необходимост актуализира/коригира сроковете на съхранение на всички лични данни, обработвани от Дружествата от Групата, като се позовава на инвентаризацията на данните и идентифицира всички данни, които вече не се изискват в контекста на посочената цел;
- Искания за корекция на данни се обработват в рамките на един месец (съгласно Процедура за управление на искания и жалби от субектите на данни). Ако Администраторът реши да не се съобрази с искането, субектът на данните получава отговор с мотивите за отказа.
5. Личните данни се съхраняват в такава форма, която позволява субектът на данните да бъде идентифициран за периода, необходим за обработването („ограничение на съхранението“).
Лични данни ще бъдат пазени в съответствие със законово регламентирани срокове за съхранение, изтичане на валидност или оперативното значение на информацията.
6. Личните данни се обработват по начин, който да гарантира тяхната поверителност, цялостност и наличност („цялостност и поверителност“).
Администраторът обработва личните данни прилагайки подходящо ниво на сигурност (технически и организационни мерки) и гарантирайки тяхната поверителност, цялостност и наличност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу загуба, унищожаване или повреждане.
Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност (чл. 24 и чл. 32 от ОРЗД). Сигурността на личните данни се гарантира от технически и организационни мерки, които включват най-малко:
- Защита на електронните технически средства с индивидуална парола;
- Автоматично заключване на бездействащи работни станции в мрежата (на работното място);
- Антивирусен софтуер и защитни стени;
- Ограничаване на правата за достъп до помещения, в които се съхраняват документи;
- Включването на защитата на данните в длъжностната характеристика на служителите;
- Определяне на дисциплинарни мерки за нарушения по отношение на обработването на данни;
- Редовна проверка на персонала за спазване на съответните практики за сигурност и действащите вътрешни процедури и правила за защита на данните;
- Контрол на физическия достъп до електронни и хартиено-базирани записи;
- Съхраняване на документи с лични данни в заключващи се стенни шкафове;
- Приемане на ясни правила за създаване и ползване на пароли;
- При обработването на личните данни задължително се прилага професионална конфиденциалност.
При преценката за подходящи мерки се вземат предвид идентифицираните рискове за личните данни, както и възможността за нанасяне на вреди на лицата, чиито данни се обработват.
III. Категории лични данни, които се обработват в дружествата от групата
1. Стандартни лични данни:
Идентификационни данни; служебна идентичност; семейна идентичност; квалификация; данни за контакт с бизнес партньори и клиенти; информация относно потребителски профили; договорна и финансова информация; информация за начисления, удръжки, професионален опит, трудов стаж, присъствие, служебна бизнес кореспонденция, информация, генерирана при използване на служебни електронни устройства; видеозаписи от охранителни камери; информация за местоположение на служебни автомобили.
2. Специални лични данни:
Данни за здравословното състояние на служителите се обработват при наличие на законови основания с цел наблюдение на здравно състояние на работещите и осигуряване безопасни условия на труд, обработка на болничен лист за целите на трудовото и осигурителното законодателство, експертиза за работоспособността. Лични данни от тази категория се обработват и с оглед защита легитимния интерес на дружествата.
Не се обработват от Администраторите следните видове специални лични данни: лични данни, разкриващи расов или етнически произход; политически възгледи, религиозни и философки убеждения; генетични и биометрични данни; данни, които се отнасят до сексуалния живот и сексуалната ориентация.
IV. Категории субекти на данни
Настоящата Политика се отнася до дейностите по обработването на всички лични данни, включително тези, които се извършват относно лични данни, предоставени от субекта на данните, по негова собствена инициатива, с цел изпълнение от страна на Администраторите на дейност, поискана от субекта на данни или във връзка с упражняване на негови права. Обработват се лични данни на:
- Работници и служители по смисъла на Кодекса на труда – физически лица, които се намират в трудови правоотношения с Дружествата от Групата;
- Кандидати за работа или физически лица, сключили с граждански договори с Дружествата от Групата, в качеството им на външни изпълнители;
- Посетители, които се намират в търговски взаимоотношения с Дружествата от Групата или са допуснати до територията на завода;
- Служители на контрагенти, с които се осигурява комуникация по повод търговски отношения с Дружествата от Групата или са допуснати до територията на завода;
- Субекти, които не са предоставили лично своите данни, но същите се обработват от Администраторите, в изпълнение на сключени договори с търговски контрагенти (данните са получени чрез контрагентите);
- Служители на външни фирми, помещаващи се на територията на завода;
- Доставчици, страна по търговски правоотношения;
- Водачи на товарни автомобили;
- Физически лица, участващи в инициативи и мероприятия, организирани от Дружествата от Групата;
- Получатели на дарения;
- Други субекти, които са постъпили при Администраторите от други източници, непосочени по-горе.
V. Цели на обработване на лични данни
Лични данни се обработват за реализацията на основните и спомагателни дейности на Администраторите, свързани с:изпълнение на договори; трудови правоотношения със служители; подбор на персонал; изпълнение на основните производствени процеси; продажба и дистрибуция на продукция и стоки; доставка на суровини, материали, стоки, услуги и оборудване; осигуряване безопасни условия на труд и наблюдение на здравно състояние; административно, правно, счетоводно и данъчно обслужване; поддръжка и експлоатация на машини и съоръжения; контрол върху опазване околната среда; контрол на качеството на продукцията, както и осигуряването на друг вид услуги свързани с търговската дейност на Дружествата от Групата; осигуряване защита на правата на Дружествата от Групата срещу евентуални искови претенции.
VI. Основания за обработване на лични данни
Обработването на лични данни от Дружествата от Групата се извършва на основание:
- Спазване на законови задължения на Администраторите съгласно счетоводното, данъчното, здравно-осигурителното, социално-осигурителното и друг вид законодателство, включително за предоставяне на информация пред компетентните държавни органи;
- Изпълнение на трудови, граждански и търговски договори;
- Легитимен интерес – упражняване и защита на законните права и интереси на Администраторите;
- Съгласие от субекта на данни.
Администраторите обработват лични данни самостоятелно, чрез договореност с Обработващ под ръководството на Администраторите и/или по силата на сключен договор за съвместни администратори. В определени случаи, Дружествата от Групата обработват лични данни и в качеството си на Обработващи.
VII. Права на субектите на данни
Администраторите се ангажират с предоставяне на информация по членове 13, 14 и всякаква комуникация по членове 15-22 и член 34 от ОРЗД, която се отнася до обработването, на субекта на данните в кратка, прозрачна, разбираема и лесно достъпна форма, на ясен и прост език. Информацията се предоставя писмено или по друг начин.
Администраторите съдействат при упражняване на правата на субекта на данни по отношение на обработването на личните му данни.
1. Право на достъп
Субектът на данни има право да получи информация за личните данни, свързани с него, които се обработват от Администраторите, и за целта, за която се обработват, включително да получи достъп до данните, както и информация кои са получателите на тези данни и третите страни, на които данните се предават, когато е възможно, предвидения срок, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок; съществуването на право да изисква от Администраторите коригиране или изтриване на лични данни или ограничаване на обработването им, или да направи възражение срещу такова обработване, освен ако обработването не е в изпълнение на законово или договорно задължение; правото на жалба до надзорен орган; източника на личните данни, когато те не са събрани от субекта на данните; съществуването на автоматизирано вземане на решения, включително профилиране, както и значението на предвидените последствия от такова обработване за субекта на данните.
Субектът на данни има право да поиска копие от своите лични данни от Администраторите, когато това е икономически оправдано.
2. Право на коригиране
Субектът на данни има право да поиска от Администраторите коригиране на лични данни, когато те са неточни, както и когато не са актуални.
3. Право на изтриване
Субектът на данни има да изиска от Администраторите изтриване на лични данни (право „да бъдеш забравен“). Субектът на данни има правото да поиска от Администраторите изтриване на свързаните с него лични данни без ненужно забавяне, а Администраторът има задължението да изтрие без ненужно забавяне личните данни, когато е приложимо някое от посочените по-долу основания:
- Личните данни вече не са необходими за целите, за които са били събрани или обработвани;
- Субектът на данни оттегля своето съгласие, въз основа на което се основава обработването на неговите данни и няма друго правно основание за обработването им;
- Субектът на данни възразява срещу обработването (съгласно чл. 21, пар. 1 от ОРЗД) и няма законни основания за обработването, които да имат преимущество, или субектът на данни възразява срещу обработването (съгласно чл. 21, пар. 2 от ОРЗД);
- Личните данни са били обработвани незаконосъобразно.
4. Право на ограничаване на обработването
Субектът на данни има право да поиска от Администраторите ограничаване на обработването на лични данни, като в този случай данните ще бъдат само съхранявани, но не и обработвани. Субектът на данни може да упражни правото си на ограничаване на обработването в случаите, когато Администраторът не се нуждае повече от данните за целите, за които същите са били обработвани, но субектът ги изисква за установяване, упражняване и защитата на правни претенции; когато обработването е неправомерно, но субектът не желае личните му данни да бъдат изцяло изтрити, а изисква вместо това ограничаване на използването им; субектът на данни е възразил срещу обработването съгласно чл. 21, пар.1 от ОРЗД.
5. Право на възражение
Субектът на данни има право на възражение срещу обработване на негови лични данни. Когато Администраторът обработва лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработването им.
6. Право на подаване на жалба до надзорен орган
Субектът на данни има право да подаде жалба до надзорен орган, ако смята, че някоя от разпоредбите на ОРЗД е нарушена.
7. Право на преносимост на данните
Субектът на данни може да поиска да му бъдат предоставени личните данни в структуриран, широко използван и пригоден за машинно четене формат.
8. Право на оттегляне на съгласие
Субектът на данни има право да оттегли съгласието си за обработката на личните данни по всяко време с отделно искане, отправено до Администраторите.
9. Право на защита срещу автоматизирано вземане на решения
Субектът на данни има право да не е обект на автоматизирано взети решения, които да го засягат в значителна степен, без възможност за човешка намеса; да се противопостави на автоматизирано профилиране, което се случва без негово съгласие.
Администраторите осигуряват условия, които да гарантират упражняването на тези права от субекта на данни, както следва:
- Субектите на данни могат да отправят искания за достъп до данни, съгласно Процедура за управление на искания и жалби от субектите на данни;
- Субектите на данни имат право да подават възражения до Администраторите, свързани с обработването на личните им данни. Обработването на искане от субекта на данни и подаването на възражения от страна на субекта на данни, се извършва в съответствие с Процедурата за управление на искания и жалби от субекта на данни.
Жалбите могат да се подават до надзорния орган, като компетентният за това орган в България е Комисията за защита на личните данни, адрес: гр. София 1592, бул. „Проф. Цветан Лазаров” №2 (www.cpdp.bg).
VIII. Съгласие за обработване на лични данни
Съгласие на субекта на лични данни се изисква винаги, когато не съществува алтернативно правно основание за обработването. Съгласието трябва да бъде свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработвани. Субектът на данните може да оттегли съгласието си по всяко време.
Съгласието за обработване на лични или специални категории данни се дава въз основа на съответния документ за съгласие, предоставен от субекта на данни на Администраторите за всяка конкретна цел на обработване. Когато субектът е страна по договор, съгласие не се изисква, защото данните му се събират на друго законово основание.
IX. Сигурност на личните данни
Администраторите въвеждат адекватни физически, технически и административни мерки за сигурност, предназначени да защитят личните данни от загуба, злоупотреба, промяна, унищожаване или повреда. Служителите на Администраторите, които съгласно длъжностните си характеристики са задължени да обработват определени лични данни от името на Администраторите, са длъжни да осигурят сигурността при обработването и съхраняването на данните от тяхна страна, включително да гарантират, че няма да разкриват данните на трети страни, освен на оправомощени по силата на закон или договор трети лица.
Личните данни или част от тях са достъпни само за лица, които имат задължение да ги обработват/съхраняват. Всички лични данни да се съхраняват в помещения с контролиран достъп и/или в заключен шкаф и/или в защитена с парола информационна система. Записите върху хартиен носител не се достъпват от неоторизирани лица и не се изнасят от определените офисни помещения, без изрично разрешение и до приключване на определената задача.
От всички служители/работници се изисква да спазват правилата за вътрешния трудов ред, технологичния ред при обработване на лични данни, както и правилата за безопасна употреба на работните станции, централните бази данни и персоналните акаунти за достъп до информацията.
В случай на нарушение на сигурността на личните данни Администраторът прилага Процедура за уведомяване при нарушение на сигурността на личните данни. Процедурата обхваща изискванията на чл. 33 за уведомяване на надзорния орган за нарушение на сигурността на личните данни и чл. 34 за съобщаване на субекта на данните за нарушение на сигурността на личните данни от Регламента.
X. Разкриване и трансфер на данни
За изпълнение на описаните в настоящата Политика цели, личните данни може да бъдат споделяни между организационните единици на Дружествата от Групата, при стриктно спазване на изискванията на Регламента.
Всички искания от трети страни, които работят с или за Дружества от Групата в т.ч. външни организации (получатели), които обработват лични данни във връзка с изпълняваните работни процеси: доставчици на стоки и услуги, дистрибутори, партньори, клиенти, държавни институции, агенции, инспекции, контролни органи, банки, застрахователи, брокери, нотариуси, пристанищна администрация, НОИ, ТЕЛК и други, както и трети страни, които имат или могат да имат достъп до личните данни, събирани и обработвани от Администраторите, трябва да бъдат подкрепени с подходящите основания и/или документация.
Личните данни се предоставят на компетентните публични органи при и по повод упражняване на техните правомощия и изпълнение на задълженията на Администраторите към тях.
Личните данни не се разкриват на неупълномощени трети страни, което включва членове на семейството, всякакви други лица, държавни органи, ако има основателно съмнение, че не се изискват по установения ред, като се взема предвид дали разкриването на информацията е свързано или не с нуждите на дейността, извършвана от Дружествата.
Администраторите сключват споразумение за поверителност на данните с всяка трета страна, на която предоставят достъп до личните данни, обработвани от тях.
XI. Администратор и Обработващ лични данни
Отношенията между Администратор и Обработващ се регламентират с писмен договор, след доказване от страна на Обработващия на необходимите гаранции за прилагането на подходящи технически и организационни мерки за съответствие с изискванията на ЗЗЛД и ОРЗД за осигуряване на адекватно ниво на защита на правата на субектите на данните, както следва:
- Обработващият гарантира, че всяко лице, което има достъп до лични данни е поело ангажимент за поверителност или е задължено по закон да спазва поверителност;
- Обработващият обработва личните данни от името на Администратора само и единствено съобразно документираните нареждания на Администратора;
- Обработващият незабавно уведомява Администратора, ако според Обработващия дадено нареждане на Администратора нарушава Регламента или други приложими правила за защита на личните данни;
- Обработващият незабавно уведомява Администратора в случай на каквито и да е дейности по разследване, предприети от надзорен орган по защита на личните данни по отношение на дейността на Обработващия по обработване на лични данни;
- Обработващият осигурява достъп на Администратора до цялата информация, необходима за доказване на изпълнението на задълженията на Обработващия, както и позволява и съдейства за извършването на одити, включително проверки, от страна на Администратора или друг одитор, оправомощен от Администратора; отговаря на всякакви запитвания на Администратора относно обработването на личните данни;
- Обработващият подпомага Администратора, изпълнява конкретните нареждания на Администратора и му предоставя изисканата информация, при изпълнението на задължението на Администратора да отговори на искания за упражняване на правата на субектите на данни;
- Обработващият не предава лични данни на трета държава или международна организация, освен когато е длъжен да направи това по силата на националното законодателство и законодателството на ЕС, което се прилага спрямо Обработващия, като в този случай Обработващият информира Администратора за това правно изискване преди предаването, освен ако това право забранява такова информиране на важни основания от публичен интерес;
- Обработващият подпомага Администратора при изпълнението на задължението му за съобщаване на субекта на данните за нарушение на сигурността на личните данни по чл. 34 от Регламента, като изпълнява конкретните нареждания на Администратора и му предоставя изисканата информация;
- Обработващият няма право да включва друг Обработващ за извършването на дейности по обработване на лични данни от името на Администратора без предварителното писмено разрешение на Администратора. Когато Обработващият включва друг Обработващ след предварително писмено разрешение на Администратора, Обработващият носи пълна отговорност пред Администратора за изпълнението на задълженията за защита на данните от страна на другия Обработващ.
- Обработващият потвърждава писмено на Администратора, че личните данни са върнати, заличени и/или съхранени. В случай, че Обработващият съхранява лични данни след прекратяване действието на договора или на конкретни дейности по обработване на лични данни, Обработващият уведомява Администратора за правното основание за съхранение, както и се съгласява и гарантира, че ще ги съхранява при спазване на Регламента и на другите приложими правила за защита на личните данни.
XII. Регистър на дейностите по обработване на лични данни
В Дружествата от Групата е създаден процес по инвентаризация на данните като част от възприетия подход за справяне с рисковете, свързани с обработване на определени видове лични данни и спазване на политиката за съответствие с Регламента. При инвентаризацията на данните се установяват и описват:
- Бизнес процесите, в които се използват лични данни;
- Източниците на лични данни;
- Категорията субекти на данни;
- Категориите лични данни и елементите във всяка категория;
- Дейностите по обработване на лични данни;
- Целите на обработването, за което личните данни са предназначени;
- Правното основание за обработването;
- Получателите или категориите получатели на личните данни;
- Основните системи и места за съхранение;
- Лични данни, които подлежат на трансфери извън ЕС;
- Сроковете за съхранение и заличаване.
XIII. Оценка на въздействието
Нивото на риска за лицата, свързан с обработването на личните им данни, се оценява и управлява. Когато вид обработване може да доведе до висок риск за правата и свободите на физическите лица, по-специално с използване на нови технологии и като се вземат предвид естеството, обхвата, контекста и целите на обработването, преди да се пристъпи към обработване, се извършва оценка на въздействието на предвидените операции по обработване върху защитата на личните данни.
XIV. Съхраняване и унищожаване на данните
Личните данни се запазват само за времето, необходимо, за да се удовлетвори целта, за която са били събрани от Администраторите или предоставени от субекта на данни, включително предвид рамките на приложимия законов срок.
Периодът на съхранение за всяка категория лични данни, както и критериите, използвани за определяне на този период, са съобразени със законовите задължения, изискващи от Дружествата от Групата да пазят данните.
Личните данни се съхраняват съгласно принципа за гарантиране подходящо ниво на сигурност – включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“).
XV. Сътрудничество с надзорния орган и връзка със субектите на данни
Администраторите сътрудничат на надзорния орган в лицето на Комисията за защита на личните данни.
Субектът на данни може да отправи всички свои искания и запитвания, свързани с упражняване на правата по защита на личните му данни, както и да получи разяснения относно основанията за възникване и начина на упражняване, и всякаква допълнителна информация за правата си при обработване на лични данни в съответствие с тази Политика на адрес Агрополихим АД, Индустриална зона, Девня 9160, на вниманието на Отговорен служител по защита на данните, на тел. +359 519 97 674 или по електронна поща на адрес data.protection@agropolychim.bg.
XVI. Дефиниции
„Лични данни“ – всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице, както и всяка друга информация, която се определя от приложимото право като лични данни;
„Специални (чувствителни) категории лични данни“ – лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения, или членство в синдикални организации и обработката на генетични данни, биометричните данни за уникално идентифициране на физическо лице, данни отнасящи се до здравословното състояние или данни относно сексуалния живот на физическо лице или сексуална ориентация, както и всички други лични данни, които се определят като такива от националното законодателство на държавата членка на Европейския съюз (ЕС, Съюза).
„Обработване“ – означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Администратор“ – всяко физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на ЕС или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
„Обработващ“ – Обработващият лични данни и всяко лице, действащо под ръководството на Администраторите или на обработващия лични данни, което има достъп до личните данни, обработва тези данни само по указание на Администраторите, освен ако обработването не се изисква от правото на Съюза или правото на държава членка.
„Субект на данните“ – всяко живо физическо лице, чиито лични данни са предмет на обработване от Администраторите.
„Съгласие на субекта на данните“ – всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
„Профилиране“ – всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
„Нарушение на сигурността на лични данни“ – нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„Получател“ – физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не. Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели“; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;
„Трета страна“ – всяко физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, Администраторите, обработващия лични данни и лицата, които под прякото ръководство на Администраторите или на обработващия лични данни имат право да обработват личните данни;
Всички други термини, които не са дефинирани по-горе, но са използвани в настоящата политика за защита на личните данни, имат смисъла, съгласно Регламент (ЕС) 2016/679.
XVIІ. Влизане в сила
Настоящата Политика е изготвена на основание чл. 24 от Регламент (ЕС) 2016/679 и е утвърдена със заповед на изпълнителните директори/управители на Администраторите.
Всяка актуализация на настоящата Политика се публикува на интернет страницата на „Агрополихим“ АД – https://agropolychim.bg.