ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИ ДАННИ В ГЕОСТРОЙ АД КАТО ЧАСТ ОТ ГРУПАТА КОМПАНИИ ГЕОТЕХМИН

 

За ГЕОСТРОЙ АД като социално отговорна организация защитата на личните данни е от съществено значение. В тази връзка процесът по обработка на лични данни е напълно открит и се извършва по прозрачен начин в съответствие със законовата и нормативна база на Република България.

ОСНОВАНИЕ за въвеждането на тази ПОЛИТИКА е параграф § 48 от преамбюла от „Общ регламент относно защита на данните“ (Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27.04.2016 г.). В зависимост от конкретната ситуация, Геострой АД може да обработва лични данни в качеството на администратор и/или обработващ.

ОПРЕДЕЛЕНИЯ

  • „лични данни" означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни");

 Физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност;

  • „обработване" означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване, заснемане или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
  • „администратор" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Европейския съюз или правото на държава-членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
  • „обработващ лични данни" означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
  • „получател" означава физическо или юридическо лице, публичен орган, агенция или друга структура, пред която се разкриват личните данни, независимо дали е трета страна или не.

Същевременно публичните органи, които могат да получават лични данни в рамките на конкретно разследване в съответствие с правото на Съюза или правото на държава членка, не се считат за „получатели"; обработването на тези данни от посочените публични органи отговаря на приложимите правила за защита на данните съобразно целите на обработването;

  • „надзорен орган" означава независим публичен орган, създаден от държава членка и отговорен за наблюдението на прилагането на Регламент (ЕС) 2016/679;
  • § 48 от Регламента - Администратори, които представляват част от група предприятия или институции, свързани с централен орган, могат да имат законен интерес да предават лични данни в рамките на групата предприятия за вътрешни административни цели, включващи обработването на лични данни на клиенти или служители. Общите принципи на предаването на лични данни на предприятие, разположено в трета държава, в рамките на група предприятия, остават непроменени;
  • Геострой АД като част от Група компании ГЕОТЕХМИН има подписан „Меморандум за партньорство за обединение на силите и средствата за защита на лични данни в група компании ГЕОТЕХМИН“.
  • По смисъла на §48 и подписаният Меморандум за партньорство между дружествата от групата компании ГЕОТЕХМИН като централен орган е определено дружество ГЕОТЕХМИН ООД.

                      

ЦЕЛИ НА НАСТОЯЩАТА ПОЛИТИКА И ПРИНЦИПИ НА ОБРАБОТВАНЕ НА ЛИЧНИТЕ ДАННИ

Настоящата ПОЛИТИКА има за цел да информира всички субекти на лични данни, които имат взаимоотношения с Геострой АД за начина, по който се обработват техните лични данни, какви лични данни се обработват, кога е необходимо да се разкриват на трети лица, както и правата на субектите, в съответствие с Регламента.

Личните данни в Геострой АД се събират, обработват, съхраняват и предават законосъобразно, добросъвестно и прозрачно при спазване на следните принципи:

  1. Субектът на данните се информира предварително за обработването на неговите лични данни;
  2. Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели;
  3. Обемът на личните данни съответстват на целите, за които се събират;
  4. Личните данни трябва да са точни и при необходимост да се актуализират;
  5. Личните данни се заличават или коригират, когато се установи, че са неточни или не съответстват на целите, за които се обработват;
  6. Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период, не по-дълъг от необходимия за целите, за които тези данни се обработват.
  7. Трансферът на лични данни извън Геострой АД в рамките на група компании ГЕОТЕХМИН се осъществява въз основа на подписан Меморандум за партньорство за обединение на силите и средствата за защита на лични данни в група компании ГЕОТЕХМИН.

СУБЕКТИ НА ДАННИ И КАТЕГОРИИ ЛИЧНИ ДАННИ

Дружество Геострой АД събира, обработват и съхраняват лични данни в качеството си на работодател, доставчик и контрагент и при съблюдаване изискванията на приложимото законодателство, легитимни интереси и договорни условия.

Субектите на данни, чиито лични данни се обработват, са предимно кандидатстващи за работа, служители, лица на които е възложено управлението или контрола, собственици, участници в конкурси и събития, организирани от Дружеството, контрагенти и доставчици, спонсорирани и надарени лица.

  1. От лица, кандидати за работа, с цел подбор и координация с кандидатстващия се събират следните лични данни:
  • Идентификация: име, постоянен и/или настоящ адрес, телефон, имейл;
  • Образование и професионална квалификация; данни, свързани с образование, трудов опит, професионална и лична квалификация и умения(СУ).
  • Други, ако това е изрично предвидено във вътрешните правила и процедури на Дружеството.
  1. От лицата, заети по трудови правоотношения и договори за управление и контрол в дружеството и с цел - сключване на трудов договор или договор за управление или контрол, се събират законосъобразно минимално необходимите при назначаване, следните лични данни:
  • Идентификация: телефон, имейл, данни по лична карта или паспортни данни - име; ЕГН,ЛНЧ , (дата на раждане), постоянен и/или настоящ адрес, № и дата на издаване на лична карта.
  • Образование и професионална квалификация; данни, свързани с образование, трудов опит, професионална и лична квалификация и умения (трудови книжки, копие от дипломи, квалификации,свързани със съответната позиция);
  • Здравни данни: Дружеството обработва чувствителни данни, само доколкото това е необходимо за изпълнение на специфичните му права и задължения в областта на трудовото и осигурително законодателство и социалните придобивки и плащания;
  • Други данни:

- данни относно социален статус - семейно положение, брой деца до 18 годишна възраст.

- свидетелство за съдимост, само когато със закон или нормативен акт се изисква удостоверяване на съдебно минало;

- видео образ, фотографски снимки и други данни, чието обработване е необходимо за изпълнение на правата и задълженията на администраторите от Геострой АД в качеството му на работодател и/или за защита на легитимен интерес.

  1. От физически лица - клиенти на дружеството, се събират лични данни, които са необходими за сключването и изпълнението на съответния договор:
  • Идентификация: име; ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон за връзка, имейл и длъжност.
  1. От физически лица, доставчици на услуги на дружеството, се събират лични данни, необходими за сключването и изпълнението на договори за предоставяне на услуги на дружеството от външни доставчици, както следва:
  • Идентификация: име, ЕГН (дата на раждане), постоянен и/или настоящ адрес, телефон, електронна поща.
  1. Относно физически лица - деца - участници и представители на журито, в организирани от дружеството конкурси за творби и последващи публикации във фирмения уеб сайт, фирмени бюлетини, медии, брошури, книжки, изготвяне и разпространение на видео презентации, филми и др. - при реализиране на политиката за връзки с обществеността и програми за корпоративна социална отговорност в дружествата. Тези данни се събират на основание на информирано съгласие от родител, попечител или настойник, ако лицето е до 18 години.

Идентификация на деца - „Конкурси“ - име и фамилия, учебен клас, населено място, фотографски снимки и видео кадри.

  1. Лични данни, събирани при осъществяване на охрана на имуществото на дружествата и пропускателен режим в сгради и съоръжения на дружеството - видеоизображения, идентификация - име, длъжност, организация/предприятие.

ЗАЩИТА НА ЛИЧНИТЕ ДАННИ

Администраторите и обработващите от Геострой АД са взели необходимите технически и организационни мерки, предвидени в Регламент (ЕС) 2016/679 и Закона за защита на личните данни, и прилагат най-добрите практики от международните стандарти. С цел максимална сигурност при обработка, пренос и съхранение на лични данни, се използват всички надеждни механизми за защита на личните данни от загуба, кражба и злоупотреба, както и от неоторизиран достъп, разкриване, промяна или унищожаване.

ДОСТЪП ДО ЛИЧНИТЕ ДАННИ

Администраторите от ГЕОСТРОЙ АД може при необходимост да предоставят лични данни на трети лица като компетентни държавни органи и институции, когато това се изисква от законодателството, както и на Обработващи, въз основа на изричен договор, като всички субекти, чиито лични данни се предоставят на друг обработващ се информират за това.

В случаите на предоставяне на личните данни на служители, включително по договори за управление и контрол, клиенти или доставчици на услуги на обработващ, конкретният Администратор:

  • изисква достатъчно гаранции от обработващия за спазване на законовите изисквания и добрите практики за обработка и защита на личните данни;
  • сключва писмено споразумение или друг правен акт с идентично действие, който урежда задълженията на обработващия и отговаря на изискванията на чл. 28 от Регламент (ЕС) 2016/679;
  • информира физическите лица, чиито данни ще бъдат предоставени на обработващ. Достъп до личните данни могат да имат и съответните държавни органи - съд, следствие, прокуратура, ревизиращи органи и др. Гореспоменатите могат да изискат данните по надлежен ред във връзка с изпълнението на техните правомощия.

ПРЕДОСТАВЯНЕ НА ЛИЧНИ ДАННИ НА ДЪРЖАВИ ИЗВЪН ЕВРОПЕЙСКИЯ СЪЮЗ

Трансфер на лични данни към страни извън ЕС/ЕИП е допустим само, когато:

  • Европейската Комисия е приела решение, потвърждаващо, че страната, към която се извършва трансфера, осигурява адекватно ниво на защита на правата и свободите на субектите на данни;
  • Налице са подходящи мерки за защита - като например Обвързващи Корпоративни Правила (ОКП), стандартни договорни клаузи, одобрен кодекс за поведение или сертификационен механизъм одобрени от Комисия за защита на лични данни и/или Европейската Комисия;
  • Субектът на данни е дал своето изрично съгласие за трансфера, след като е информиран за възможните рискове,

или

  • Трансферът е необходим за бизнес целите, включително изпълнението на договор със субекта, защита на обществения интерес, установяване и защита на правни спорове, защита на жизненоважните интереси на субекта на данни в случаите, когато той е физически или юридически неспособен да даде съгласие.

 

СЪХРАНЕНИЕ И УНИЩОЖАВАНЕ НА ЛИЧНИТЕ ДАННИ

Личните данни се съхраняват съгласно определените в нормативната уредба срокове. Конкретните периоди са регламентирани в съответните регистри за лични данни, според вида данни и целите, за които се обработват. Когато личните данни, вече не са необходими за упоменатите цели и/или сроковете са изтекли администраторът и обработващият (по указания на администратора) ги заличава или ги унищожава по друг надежден начин.

ЛИЦА, ОТГОВАРЯЩИ ЗА СЪБИРАНЕТО, ОБРАБОТКАТА И СЪХРАНЕНИЕТО НА ЛИЧНИТЕ ДАННИ

Събирането, обработката, съхранението и защитата на личните данни се извършва само от лица, на които това е изрично указано и чиито служебни задължения или конкретно възложена задача налагат това.

В ГЕОСТРОЙ АД е определен отговорник по защита на лични данни , като целта е по-добра регламентация, координация и прилагане на общи технически и организационни мерки за защита, с което се гарантира, че личните данни винаги ще бъдат обработвани по открит, коректен и законен начин. Основната роля на отговорника е методическо ръководство и контрол по реализиране на политиката по защита на личните данни. Освен това, същият има задължение да докладва на отговорника в група ГЕОТЕХМИН и да се консултира с него по отношение на прилагането на настоящата Политика.

Лицата, отговорни за защитата на личните данни и лицата, обработващи личните данни от името на администратора и/или обработващия са физически лица, предварително поели задължение за поверителност, притежаващи необходимата компетентност и назначени и/или упълномощени със съответен писмен акт.

ПРАВА НА СУБЕКТИТЕ НА ДАННИ

Субектите на лични данни имат следните конкретни права във връзка с обработването на личните им данни:

  • Право на достъп на лицето до отнасящи се за него лични данни

Физическите лица имат право на достъп до отнасящи се за тях лични данни по всяко време на обработването, без забавяне, в законоустановения срок, безплатно и съобразно установения от отделното дружество ред.

  • Право на възражение

Субектите на данни могат по всяко време да подадат възражение срещу обработване на личните им данни от страна на дружеството или обработващ лични данни.

  • Право на коригиране:

Субектите на данни имат право да поискат коригиране на техните лични данни, ако те са неправилни, включително допълване на непълни лични данни.

  • Право на изтриване (право „да бъдеш забравен“)

Субектите на данни имат правото да поискат от дружеството изтриване на личните им данни без ненужно забавяне, в случаите когато:

Личните данни повече не са необходими за целите, за които са били събрани или са обработвани по друг начин;

Субектът на данните оттегля своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;

Субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;

Личните данни са били обработвани незаконосъобразно;

Личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на Съюза или правото на държава членка, което се прилага спрямо администратора;

Личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца и съгласието е дадено от носещия родителска отговорност за детето.

Администраторът може да откаже изтриване на данни, в случаите, когато има законово задължение да съхранява тези данни.

  • Право на преносимост на личните данни

Субектът на данните има право да получи личните данни, които го засягат и които той е предоставил на администратор, в структуриран, широко използван и пригоден за машинно четене формат и има правото да прехвърли тези данни на друг администратор без възпрепятстване от администратора, на когото тези данни са били предоставени, когато обработването е основано на съгласие или на договорно задължение и обработването се извършва по автоматизиран начин.

  • Право на ограничаване на обработването

Субектът на данните има право да изиска ограничаване на обработването на личните му данни, когато:

точността на личните данни се оспорва от субекта на данните, като обработването се ограничава за определен законосъобразен срок, който ще позволи на администратора да провери точността на личните данни;

обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;

администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;

субектът на данните е възразил срещу обработване:

- необходимо за изпълнение на задача от обществен интерес или упражняването на официални правомощия, предоставени на администратора, или

- необходимо за целите на легитимните интереси на администратора или на трета страна

- в очакване на проверка и отговор, дали законните основания за тяхното обработване имат преимущество пред интересите на субекта на данните;

Субектите на данни имат също правото да:

Бъдат информирани и да дадат своето съгласие за обработване на лични данни, когато такова е необходимо, като съгласието на физическите лица е свободно изразен, конкретен, информиран, недвусмислен и осъзнат акт за желанието им относно обработване на техните лични данни от страна на дружеството, като тяхно право е и да го оттеглят по всяко време;

Изискат информация за основанието, въз основа на което личните им данни са предоставени за обработване на трета страна;

Възразят срещу решение, взето изцяло на база на автоматизирано обработване, включително профилиране, ако това е приложимо;

Бъдат уведомени за нарушение на сигурността на личните данни, което е вероятно да породи висок риск за техните права и свободи;

Подават жалби до регулаторния орган;

В някои случаи да получат или да поискат техните лични данни да бъдат трансферирани до държави извън Европейския Съюз в структуриран, общо използван формат, подходящ за машинно четене (право на преносимост);

Бъдат уведомени какви ще са последиците при не предоставяне на лични данни.

 

УПРАЖНЯВАНЕ НА ПРАВАТА

Отговорник по защита на лични данни

Всяко заинтересовано лице може да се свърже с Геострой АД или по някой от следните начини :

  • писмено на адрес: гр. София 1404, ж.к. „Манастирски ливади – изток“, ул. „Боянски водопад“ №106;
  • на телефонен номер (+359 2) 902 40 90;
  • на е-mail: office@geostroy.com;
  • интернет сайт: geostroy.com;

Право на подаване на жалба към надзорен орган:

Всеки, който смята, че в ГЕОСТРОЙ АД се обработват негови лични данни по незаконосъобразен начин, може да се свърже с отговорника по защита на лични данни на посочения по-горе имейл. Също така субектът на данни има право да подаде жалба до надзорния орган в Република България - Комисия за защита на личните данни.

АКТУАЛИЗАЦИЯ

Политиката периодично се актуализира, вследствие на промени във външната или вътрешна среда. При промяна в Политиката за защита на личните данни актуалната версия винаги ще е достъпна на корпоративният уебсайт.

 

Д-р инж. Владимир Вутов

Изпълнителен директор