Политика за неприкосновеност и защита на данните

Настоящият документ описва отговорностите на „Акт Лоджистик“ АД и политиката за поверителност и защита на личните данни.

В ежедневната си дейност „Акт Лоджистик“ АД използва голям обем различни данни, чрез които могат да бъдат идентифицирани лица, включително:

  • настоящи, минали и бъдещи работници/служители;
  • кандидати за работа;
  • клиенти;
  • потребители на уебсайта на организацията;
  • акционери и други.

 

Поради събирането и използването на тази информация, „Акт Лоджистик“ АД е адресат на многобройни законови разпоредби, които уреждат методите за извършване на дейностите по обработка на данните и предпазните мерки, които следва да бъдат осигурени.

Целта на тази политика е да опише действията, които „Акт Лоджистик“ АД е предприел, за да постигне съответствие с изискванията.

Контролът, съгласно настоящата политика, се разпростира върху всички звена, лица и процеси в рамките на информационните системи на организацията, включително управителни органи, директори и ръководни органи, персонал, доставчици и други трети страни, които имат достъп до системите на организацията.

Тази процедура следва да бъде четена и модифицирана в контекста на следните документи, които дават допълнителна информация за обхвата, целите, ресурсите, ролите и отговорностите за осигуряване на съответствие с изискванията на GDPR:

  • Процедура за отговорностите при нарушение на сигурността на данните
  • Вътрешен правилник за личните данни в отдел „Човешки ресурси“
  • Политика за архивиране на документи в „Акт Лоджистик“АД
  1. Общ регламент за защита на данните (GDPR)

Общият регламент за защита на данните (GDPR) е един от най-значимите законодателни актове, уреждащи дейността по обработване на данни. Чрез настоящата политика „Акт Лоджистик“ АД се стреми да осигури, поддържа и демонстрира съответствие с изискванията на GDPR и законодателство по всяко време.

  1. Легални дефиниции

Изброените по-долу дефиниции имат следното значение:

„Личните данни“  

всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

„Обработване“

всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

„Администратор на лични данни“

физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка.

  1. Основни принципи при обработването на лични данни:

Личните данни се обработват на следните принципи:

  • Законосъобразно, добросъвестно и прозрачно;
  • Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели;
  • Свеждане на данните до минимум;
  • Точност – Личните данни са точни и при необходимост се актуализират
  • Ограничение на съхранението – Личните данни се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват.
  • Цялостност и поверителност

„Акт Лоджистик“ АД гарантира, че зачита и спазва цитираните принципи, както при използването на настоящите методи за обработка на данни, така и при разработването на нови такива (напр. нови софтуерни решения).

  1. Права на субекта на данни
  • право да бъдат информирани;
  • право на достъп;
  • право на коригиране на съществуващите данни;
  • право на изтриване на данните („правото да бъдеш забравен“);
  • право за ограничаване на обработването на данните;
  • право на преносимост на данните;
  • право на възражение;
  • права във връзка с автоматизираното обработване на данни и профилирането.4. Законосъобразност на обработването.
  1. Основания за обработка

В зависимост от конкретните обстоятелства „Акт Лоджистик“ АД обработва данни само на посочените основания в зависимост от случая, като документира връзката между основанието и обстоятелствата, в съответствие с GDPR. Възможностите са описани накратко по-долу.

5.1. Съгласие

Ако е необходимо за цели, признати от GDPR, „Акт Лоджистик“ АД ще се стреми да получава изрично съгласие от субектите на данни, за да събира и обработва техни данни. В случай, че се отнася до данни на деца, необходимо е съгласие и от родител/настойник. Пълна информация относно политиката по обработка на данни и относно използването на техните данни ще бъде предоставена на субектите в момента на изискването на тяхното съгласие. Допълнително ще им бъдат обяснени правата, които получават във връзка с даденото съгласие, като например правото да го оттеглят по всяко време.

Ако данните не бъдат получени директно от субекта, за когото се отнасят, тази информация следва да му бъде съобщена в разумен период от време, но не по-късно от един месец от получаване на данните.

5.2. Изпълнение на договор

Когато събраните и обработвани данни са необходими за изпълнението на договор със субекта на данни, изрично съгласие не е нужно. Това основание е приложимо в случаите, когато предоставените данни са жизнено важни за изпълнението на договора (напр. доставката не може да бъде направена без адрес на лицето).

5.3. Законово задължение

Когато личните данни са събирани и обработвани, за да бъде изпълнено законово задължение, изрично съгласие не е необходимо. Това основание е приложимо в областта на трудовото, данъчното и, като цяло, публичното право.

5.4. Жизненоважни интереси на субекта на данни

Законосъобразно е да получим и обработим лични данни, ако те са необходими за защита на жизненоважни интереси на субекта на данни или на друго физическо лице. „Акт Лоджистик“ АД ще обработва лични данни на това основание само в случай, че наистина са засегнати жизненоважни интереси, като обстоятелствата ще бъдат детайлно документирани, така че да бъде доказуемо.

5.5. Изпълнение на задача от обществен интерес

Когато „Акт Лоджистик“ АД трябва да изпълни задача, която вярва, че е в обществен интерес, или е част от служебно задължение, съгласие от субекта на данни няма да бъде поискано. Преценката дали се касае за обществен интерес и/или служебно задължение, се документира и може да служи като доказателство при нужда.

5.6. Легитимен интерес

„Акт Лоджистик“ АД може да обработва данни за защита на легитимен интерес, в случай, че не се засягат в значителна степен правата и свободите на субектите на данни. И в този случай преценката дали един интерес е легитимен и относно степента на засягане на правата и свободите на субектите на данни следва да бъде документирана.

  1. Защита на етапа на проектиране

„Акт Лоджистик“ АД зачита принципа за защита на етапа на проектиране. Планирането и изграждането на всички нови или на съществено променени съществуващи системи, които събират, съхраняват или обработват данни, ще бъде оценявано от гледна точка на евентуални проблеми за сигурността. За всеки проект ще бъде правена оценка на въздействието върху защитата на данни и ще бъдат взети подходящите мерки за защита срещу нарушения.

  1. Договори, включващи обработка на лични данни

„Акт Лоджистик“ АД ще гарантира, че всички договори, които сключва и в чиито обхват попада обработка на лични данни, ще съдържат необходимата информация и общи условия, изискуеми от GDPR.

  1. Разкриване и трансфер на лични данни

Трансферът на данни извън Европейския съюз ще бъде внимателно обмислян преди фактическото му осъществяване, за да се гарантира, че попада в границите, поставени от GDPR. Всеки конкретен случай се разглежда отделно, тъй като зависи от преценката на Европейската комисия към момента за нивото на сигурност, което третата държава предоставя по отношение на личните данни.

  1. Длъжностно лице по защита на данните

GDPR задължава всяка организация, която е публична, която обработва голям обем лични данни или събира/съхранява „чувствителни“ данни да има длъжностно лице по защита на данните. Съобразно поставените от регламента изисквания, „Акт Лоджистик“ АД не трябва да ангажира длъжностно лице по защита на данните.

  1. Уведомление за нарушение на сигурността на данните

В случай на пробив в сигурността на данните, „Акт Лоджистик“ АД предприема необходимите действия, за да предупреди засегнатите лица. Действията следва да бъдат пропорционални на нарушението, като следва да се спазва и принципът за прозрачност. GDPR задължава организацията, в случай на пробив, който може да застраши правата и свободите на лицата, да уведоми надзорния орган (Комисията за защита на личните данни) в рамките на 72 часа от узнаването. Уведомяването се извършва в съответствие с нарочна процедура, разписана от „Акт Лоджистик“ АД.

  1. Постигане на съответствие с GDPR

Следните действия са предприети от „Акт Лоджистик“ АД за да бъде постигнато пълно съответствие с изискванията на GDPR:

  • Анализирано е законодателството в областта на личните данни;
  • Служителите, които се занимават с обработване на лични данни, разбират задълженията си и отговорността за спазването на политиките и процедурите за защита на личните данни на организацията;
  • Персоналът е инструктиран относно необходимото ниво на защита на данните;
  • Спазват се правилата за съгласие на субектите на данни;
  • Предоставени са възможности за упражняване на правата от субектите на данни и техните искания се управляват ефективно;
  • Извършват се периодични прегледи с цел актуализация на политиките/процедурите относно защитата на личните данни;
  • Спазва се принципът за защита на етапа на проектирането за всички нови или драстично променени системи и процеси
  • Води се следната документация за дейностите по обработване:
  • Регистър на дейностите – администратор;
  • Регистър на дейностите – Обработващ лични данни

Посочените документи следва периодично да се преглеждат като част от общия одит на защитата на данните, извършван от ръководните органи.

  1. Съхранение на лични данни

Нашият общ подход е да запазим личните даннни на служителите, доставчиците, клиентите и контрагентите ни, както и на трети лица, за минимално необходимия период от време – до изпълнение на целта, за която са били събрани от нас или предоставени от Вас, включително предвид приложимия законов срок.

  1. Сигурност на Вашите лични данни

Предприемаме разумни физически, технически и административни мерки за сигурност, предназначени да зищитят личните Ви данни от загуба, злоупотреба, промяна, унищожаване или повреда, съгласно изисканията на националното ни законодателство.

Вие също играете важна роля в защитата на сигурността на Вашите лични данни и трябва да се следите на кого разкривате личните данни и как зашитавате комуникациите и устройсвата си.

  1. Свържете се с Нас

Ако имате някакви въпроси или притеснения относно обработката на личните Ви данни или желаете да упражнявате някое от Вашите права, моля свържете се с отдел „Човешки ресурси“ или ни изпратете имейл на адрес: hr@act-logistics.com