ПОЛИТИКА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ НА СЛУЖИТЕЛИТЕ, КЛИЕНТИ И ДОСТАВЧИЦИ при „Команс 2000“ АД, ЕИК 121838890

съгласно Общия Регламент 2016/679 за защита на данните (GDPR), в сила от 25.05.2018 г.

1. Въведение

Тази Политика определя задълженията на „Команс 2000“ АД, еик 121838890, дружество, регистрирано в Търговския регистър към Агенция по вписвания в Република България, чието седалище е гр. София 1618, район р-н Витоша, бул. Цар Борис III № 281, представлявано от Изпълнителния директор Любомир Качамаков („Компанията“) по отношение на защитата на данните и правата на служителите (в този контекст, „субектите на данни за работниците и служителите“) по отношение на техните лични данни съгласно Общия Регламент 2016/679 за защита на данните (GDPR), в сила от 25.05.2018 г.

GDPR дефинира „лични данни“ като всяка информация, отнасяща се до идентифицирано или подлежащо на идентификация физическо лице („субект на данни“); физическо лице, което може да бъде идентифицирано, е човек, който може да бъде идентифициран пряко или непряко, по-специално чрез посочване на идентификатор като име, идентификационен номер, данни за местоположението, онлайн идентификатор или един или повече фактори, специфични за физическото, физиологичното , генетична, умствена, икономическа, културна или социална идентичност на това физическо лице.

Тази политика определя задълженията на компанията по отношение на събирането, обработката, прехвърлянето, съхранението и изхвърлянето на лични данни, отнасящи се до субектите на данни за служителите, клиенти и доставчици. Процедурите и принципите, посочени тук, трябва да бъдат спазвани по всяко време от Компанията, нейните служители, агенти, изпълнители или други страни, които работят от името на Дружеството.

Дружеството се ангажира не само с буквата на закона, но и с духа на закона и поставя голямо значение за правилното, законосъобразно и справедливо третиране на всички лични данни, като се зачитат законните права, неприкосновеността на личния живот и доверието на всички лицата, с които се занимава.

2. Принципите за защита на данните

Тази политика има за цел да гарантира спазването на GDPR. GDPR определя следните принципи, които трябва да спазват всяка страна, която обработва лични данни. Всички лични данни трябва да бъдат:

2.1 Обработени законно, справедливо и по прозрачен начин по отношение на субекта на данните.

2.2 Събрани за конкретни, изрични и законни цели и не се обработват по начин, който е несъвместим с тези цели. По-нататъшната обработка за целите на архивирането в интерес на обществото, научните или историческите научни цели или статистическите цели не се счита за несъвместима с първоначалните цели.

2.3 Адекватна, релевантна и ограничена до това, което е необходимо във връзка с целите, за които се обработва.

2.4 Точни и, ако е необходимо, актуализирани. Трябва да се предприемат всички разумни стъпки, за да се гарантира, че личните данни, които са неточни, като се имат предвид целите, за които се обработват, се изтриват или коригират незабавно.

2.5 Поддържана във форма, която позволява идентифицирането на субектите на данни не по-дълго от необходимото за целите, за които се обработват личните данни. Личните данни могат да се съхраняват за по-дълги периоди от време, доколкото личните данни ще се обработват единствено с цел архивиране за обществени интереси, научни или исторически научноизследователски цели или за статистически цели, при условие че са изпълнени съответните технически и организационни мерки, изисквани от ГДРП, за да се защитят правата и свободите на субекта на данните.

2.6. Обработени по начин, който гарантира подходяща сигурност на личните данни, включително защита срещу неразрешена или незаконна обработка и срещу случайна загуба, унищожаване или повреда, като се използват подходящи технически или организационни мерки.

3. Правата на субектите на данни

GDPR определя следните права, приложими за субектите на данните :

3.1 Правото на информация (Част 12).

3.2 Правото на достъп (част 13);

3.3 Право на поправка (Част 14);

3.4 Правото за заличаване (известно също като „правото да бъде забравено“) (част 15);

3.5 Право на ограничаване на обработката (Част 16);

3.6 Право на преносимост на данни (Част 17);

3.7 Право на възражение (Част 18)

4. Законна, справедлива и прозрачна обработка на данни

4.1 GDPR се стреми да гарантира, че личните данни се обработват законно, справедливо и прозрачно, без това да накърнява правата на субекта на данните. GDPR гласи, че обработването на лични данни е законосъобразно, ако се прилага поне едно от следните условия:

4.1.1 Субектът на данните е дал съгласие за обработката на личните им данни за една или повече конкретни цели;

4.1.2 Обработката е необходима за изпълнение на договор, по който лицето, за което се отнасят данните, е страна или за да предприеме стъпки по искане на субекта на данните преди да сключи договор с тях;

4.1.3 Обработката е необходима за спазване на правно задължение, на което се подчинява администраторът на данните;

4.1.4 Обработката е необходима за защита на жизненоважните интереси на субекта на данните или на друго физическо лице;

4.1.5 Обработката е необходима за изпълнение на задача, изпълнявана в обществен интерес или при упражняване на публична власт на администратора на данни; или

4.1.6 Обработката е необходима за целите на легитимните интереси, преследвани от администратора на данни или от трета страна, освен когато такива интереси са надхвърлени от основните права и свободи на субекта на данните, които изискват защита на лични данни, по-специално когато субектът на данните е дете.

4.2 Ако въпросните лични данни са „данни от специална категория“ (известни също като „чувствителни лични данни“ (например данни за расата, етническата принадлежност, политиката, религията, членството в синдикални организации, генетиката, биометричните данни Идентификационни цели), здраве, сексуален живот или сексуална ориентация), трябва да бъде изпълнено поне едно от следните условия:

4.2.1 Субектът на данни е дал своето изрично съгласие за обработката на тези данни за една или повече конкретни цели (освен ако законодателството на ЕС или на държавите-членки на ЕС ги забранява да го направят);

4.2.2 Обработката е необходима за изпълнение на задълженията и упражняване на специфични права на администратора на данни или на субекта на данните в областта на трудовото право, социалното осигуряване и правото на социална защита (доколкото е разрешено от ЕС или Законодателството на държавите-членки на ЕС или колективен трудов договор съгласно законодателството на държавите-членки на ЕС, който предвижда подходящи гаранции за основните права и интереси на субекта на данните);

4.2.3 Обработката е необходима за защита на жизненоважните интереси на субекта на данните или на друго физическо лице, когато субектът на данните физически или юридически не е в състояние да даде съгласието си;

4.2.4 Администраторът на данни е фондация, асоциация или друг орган с нестопанска цел с политическа, философска, религиозна или синдикална цел и обработката се осъществява в хода на легитимните й дейности, при условие че обработката е свързана единствено на членовете или бившите членове на този орган или на лица, които имат постоянен контакт с него във връзка с неговите цели и че личните данни не се разкриват извън органа без съгласието на субектите на данни;

4.2.5 Обработката се отнася до лични данни, които ясно се оповестяват от субекта на данните;

4.2.6 Обработката е необходима за извършване на съдебни искове или когато съдилищата действат в качеството си на съдебни служители;

4.2.7 Обработката е необходима поради значими съображения от обществен интерес въз основа на правото на ЕС или на държавите-членки на ЕС, което е пропорционално на преследваната цел, съблюдава същността на правото на защита на данните и предвижда подходящи и специфични мерки за защита на основните права и интереси на субекта на данните;

4.2.8 Обработката е необходима за целите на превантивната или професионалната медицина, за оценяване на работоспособността на служител, за медицинска диагностика, за предоставяне на здравни или социални грижи или лечение или за управление на здравни или социални грижи системи или услуги въз основа на правото на ЕС или на държавите-членки на ЕС или съгласно договор със здравен специалист, при спазване на условията и предпазните мерки, посочени в член 9, параграф 3 от GDPR;

4.2.9 Обработката е необходима от съображения от обществен интерес в областта на общественото здравеопазване, като например предпазване от сериозни трансгранични заплахи за здравето или осигуряване на високи стандарти за качество и безопасност на здравните грижи и на лекарствени продукти или медицински изделия, основа на законодателството на ЕС или на държавите-членки на ЕС, което предвижда подходящи и специфични мерки за защита на правата и свободите на субекта на данните (по-специално професионална тайна); или

4.2.10 Обработката е необходима за целите на архивирането в интерес на обществото, научните или историческите изследвания или статистическите в съответствие с член 89, параграф 1 от Регламент (ЕС) 2016/679, основаващ се на правото на ЕС или на държавите-членки на ЕС, които са пропорционални на преследваната цел, съблюдават същността на правото на защита на данните и предвиждат подходящи и специфични мерки за защита на основните правата и интересите на субекта на данните.

5. Определени, изрични и законни цели

5.1 Дружеството събира и обработва личните данни, посочени в Части 19 до 23 на тази Политика. Това включва:

5.1.1 Лични данни, събрани директно от субектите на данни за работниците и служителите, клиенти и доставчици.

5.1.2 Лични данни, получени от трети страни.

5.2 Служителите могат да поискат информация за целта или целите, за които дружеството използва личните им данни.

6. Адекватна, подходяща и ограничена обработка на данни

Дружеството ще събира и обработва само лични данни за и до степента, необходима за конкретната цел или целите на които субектите на данни за служителите са били информирани (или ще бъдат информирани), както е посочено в Част 5 по-горе, и както е посочено в Части 19 до 23, по-долу.

7. Точност на данните и поддържане на данните актуални

7.1 Дружеството трябва да гарантира, че всички лични данни, събрани, обработени и съхранявани от него, се съхраняват точни и актуални. Това включва, но не се ограничава до поправянето на лични данни по искане на субект на данни на служител, както е посочено в част 14 по-долу.

7.2 Точността на личните данни се проверява, когато се събира и след това. Ако се установи, че лични данни са неточни или не са актуални, незабавно ще бъдат предприети всички разумни стъпки, за да се изменят или изтрият тези данни, според случая.

8. Запазване на данни

8.1 Дружеството няма да съхранява лични данни за по-дълго от необходимото в светлината на целта или целите, за които тези лични данни са били първоначално събрани, държани и обработени.

8.2 Когато личните данни вече не се изискват, всички разумни стъпки ще бъдат предприети, за да бъдат изтрити или по друг начин да бъдат унищожени незабавно.

8.3 За пълни подробности относно подхода на компанията към задържането на данни, включително периодите на запазване за конкретни типове лични данни, съхранявани от Дружеството, моля, направете справка с правилата ни за съхранение на данни.

9. Защитена обработка

Дружеството трябва да гарантира, че всички събрани, съхранявани и обработени лични данни са безопасни и защитени от неразрешена или незаконна обработка и от случайна загуба, унищожаване или повреда.

10. Отчетност и водене на записи

10.1 Дружеството трябва да води писмени вътрешни записи за събирането, съхраняването и обработката на лични данни, които включват следната информация:

10.1.1 Целите, за които Дружеството събира, съхранява и обработва лични данни;

10.1.3. Подробности за категориите на личните данни, събрани, съхранявани и обработвани от Дружеството, и категориите данни за служителите, за които се отнасят тези лични данни;

10.1.4 Подробности за всички прехвърляния на лични данни и предпазни мерки за сигурност;

10.1.5 Подробности за продължителността на съхраняването на лични данни от Компанията;и

10.1.6 Подробни описания на всички технически и организационни мерки, предприети от Дружеството, за да се гарантира сигурността на личните данни.

11. Оценки на въздействието върху защитата на данните

11.1 Дружеството ще извършва оценки на въздействието върху защитата на данните за всички нови проекти и / или нови приложения на лични данни които включват използването на нови технологии и съответната обработка е вероятно да доведе до висок риск за правата и свободите на служители на данни за работниците и служителите съгласно GDPR.

11.2 Оценките на въздействието върху защитата на данните се контролират от администратора и се отнасят до следното:

11.2.1 Типа / типовете лични данни, които ще се събират, съхраняват и обработват;

11.2.2 Цел (и), за които трябва да се използват личните данни;

11.2.3 Целите на Дружеството;

11.2.4 Как трябва да се използват личните данни;

11.2.5 Страни (вътрешни и / или външни), с които да се провеждат консултации;

11.2.6 Необходимостта и пропорционалността на обработката на данни по отношение на целта / целите, за която (които) се обработва;

11.2.7 Рискове, наложени на субектите на данни за служителите;

11.2.8 Рискове, породени както от компанията, така и от нея; и

11.2.9 Предложени мерки за свеждане до минимум на идентифицираните рискове.

12. Информиране на субектите за данни

12.1 Дружеството предоставя информацията, посочена в Част 12.2, на всеки субект на данни на служителя:

12.1.1. Когато личните данни се събират директно от субектите на данни за служителите, тези лица ще бъдат информирани за целта им по време на събирането; и

12.1.2 Когато лични данни се получават от трета страна, съответните лица на данни за служителите ще бъдат информирани за целта им:

а) ако личните данни се използват за комуникация със субекта на данни – на служителя, когато е направено първото съобщение; или

б) ако личните данни трябва да бъдат прехвърлени на друга страна, преди да се извърши това прехвърляне; или

в) възможно най-бързо и във всеки случай не повече от един месец след получаването на личните данни.

12.2 Предоставя се следната информация:

12.2.1 Данни за Дружеството;

12.2.2 Цели, за които се събират и ще се обработват личните данни и правното основание, обосноваващо това събиране и обработка;

12.2.3 Където е приложимо, законните интереси, на които Дружеството основава събирането и обработката на личните данни;

12.2.4 Когато личните данни не се получават директно от субекта на данните на работниците и служителите, категориите събрани и обработени лични данни;

12.2.5 Когато личните данни трябва да бъдат прехвърлени на една или повече трети страни, подробности за тези страни;

13. Достъп до данни

13.1 Лицата, чиито данни се обработват могат да направят заявки за достъп до обектите по всяко време, за да научат повече за личните данни, които компанията държи за тях, какво правят с тези лични данни и защо.

13.2 Лицата, чиито данни се обработват, трябва да използват формуляра за заявка за достъп до данни, като изпращат формуляра до администратора;

13.3 Отговорите обикновено се правят в рамките на един месец от получаването им, но това може да бъде удължено с до два месеца, ако достъпът до данни е сложен и / или са направени многобройни искания. Ако се изисква такова допълнително време, субектът на данните на служителя трябва да бъде информиран.

13.4 Дружеството не начислява такса за обработка на нормални заявки. Дружеството си запазва правото да начислява разумни такси за допълнителни копия на вече предоставена информация на субект на данни на служител и за искания, които са явно неоснователни или прекомерни, особено когато тези искания са повтарящи се.

14. Поправяне на лични данни

14.1 Субектите на данни за работниците и служителите имат право да изискват от дружеството да коригира всякакви лични данни, които са неточни или непълни.

14.2 Компанията следва да поправи въпросните лични данни и да информира субектите, които са предмет на тази корекция, в рамките на един месец от уведомяване на дружеството за въпросната информация. Периодът може да бъде удължен с до два месеца при сложни искания. Ако се изисква такова допълнително време, субектът на данните трябва да бъде информиран.

14.3 В случай, че всички засегнати лични данни са разкрити на трети лица, тези страни трябва да бъдат информирани за всяка поправка, която трябва да бъде направена на тези лични данни.

15. Изтриване на лични данни

15.1 Субектите на данни имат право да поискат от Компанията да изтрият личните данни, които притежава за тях, при следните обстоятелства:

15.1.1 Вече не е необходимо фирмата да съхранява личните данни по отношение на целта / целите, за която (които) първоначално са били събрани или обработени;

15.1.2 Субектът на данни желае да оттегли своето съгласие за притежаването и обработката на личните им данни от дружеството;

15.1.3 Субектът на данни възразява срещу това, че Дружеството притежава и обработва личните им данни (и няма преимуществен законен интерес, за да позволи на Дружеството да продължи това);

15.1.4 личните данни са били обработени незаконно;

15.1.5 Личните данни трябва да бъдат изтрити, за да може Компанията да спази определено правно задължение.

15.2 Освен ако Дружеството има основателни причини да откаже да изтрие личните данни, всички молби за изтриване трябва да бъдат спазени, а субектът на данни е уведомен за изтриването в рамките на един месец от получаването на искането на субекта на данни на служителя. Периодът може да бъде удължен с до два месеца при сложни искания. Ако се изисква такова допълнително време, субектът на данните трябва да бъде информиран.

15.3 В случай, че лични данни, които трябва да бъдат изтрити в отговор на искане на субект на данни на служител, са били разкрити на трети лица, тези страни ще бъдат информирани за изтриването (освен ако това не е невъзможно или би изисквало несъразмерно усилие за това).

 

16. Ограничаване на обработката на лични данни

16.1 Субектите на данни за персонала могат да поискат Дружеството да прекрати обработването на личните данни, които притежава за тях. Ако даден субект на данни на служител направи такова искане, Дружеството ще запази само количеството лични данни, отнасящи се до съответното физическо лице (ако има такива), което е необходимо, за да се гарантира, че въпросните лични данни не се обработват допълнително.

 

17. Преносимост на данни

17.1 Дружеството обработва лични данни, свързани със служителите, използвайки автоматизирани средства – ПП TERES, разработена от СД „Интелсофт“.

17.2 Когато субектите на данни – работниците и служителите са дали своето съгласие на Дружеството да обработва личните им данни по такъв начин, или обработката е иначе необходима за изпълнението на договор между Компанията;

17.3 За да се улесни правото на преносимост на данните, Дружеството трябва да предостави всички приложими лични данни на субектите на данни в структуриран, широко използван и пригоден за машинно четене формат.

17.4 Когато това е технически осъществимо, при поискване от субект на данни на служител, личните данни се изпращат директно до изисквания администратор на данни.

17.5 Всички заявки за копия на лични данни трябва да бъдат спазени в рамките на един месец от искането на субекта на данни. Периодът може да бъде удължен с до два месеца в случай на сложни или многобройни искания. Ако се изисква такова допълнително време, субектът на данните трябва да бъде информиран.

18. Възражения срещу обработката на лични данни

18.1 Субектите на данни за служителите имат право да възразят срещу това, че Дружеството обработва техните лични данни въз основа на законни интереси, директен маркетинг (включително профилиране), и обработка за научни и / или исторически изследвания и статистически цели.

18.2 Когато даден субект на данни на служител възразява срещу това, че Дружеството обработва личните му данни въз основа на законните му интереси, Дружеството незабавно преустановява такава обработка, освен ако не може да се докаже, че законните основания за такава обработка надвишават интересите, и свободата, или че обработването е необходимо за правни искове.

18.3 Когато даден субект на данни на служител възразява срещу това, че Дружеството обработва личните му данни за целите на директния маркетинг, Дружеството незабавно прекратява такава обработка.

18.4 Когато даден субект на данни за работника или служителя възразява срещу това, че Дружеството обработва личните му данни за научни и / или исторически проучвания и статистически цели, субектът на данни трябва да предостави основанията, свързани с конкретната ситуация. Дружеството не е задължено да спазва, ако изследването е необходимо за изпълнението на задача, изпълнявана от съображения за обществен интерес.

19. Лични данни

Дружеството държи лични данни, които са пряко свързани с неговите служители. Личните данни се събират, съхраняват и обработват в съответствие с правата на субектите на данни на служителите и задълженията на Дружеството по GDPR и тази Политика. Дружеството може да събира, съхранява и обработва личните данни, описани подробно в Части 19 до 23 на тези Политика:

19.1 Идентификационна информация за служителите:

19.1.1 Име;

19.1.2 Данни за връзка;

19.1.3 Данни за отпуск по болест;

19.1.4 Интервю при кандидатстване за работа;

19.4.2 автобиографии, формуляри за кандидатстване, придружителни писма и други подобни документи;

19.4.3 Оценки на ефективността (Атестационни формуляри) и други подобни документи;

19.4.4 Данни за възнаграждението, включително заплати, увеличения на заплатите, бонуси, комисионни, извънреден труд, обезщетения и разходи;

19.4.5 Подробности за членството в профсъюзите;

19.4.6 Информация за мониторинг на служителите;

19.4.7 Протоколи за дисциплинарни въпроси, включително доклади и предупреждения, официални и неформални;

19.4.8 Подробности за жалбите, включително документални доказателства, бележки от интервюта, следвани процедури и резултати;

20. Мониторинг на субектите на данните

20.1 Дружеството може от време на време да наблюдава дейностите на субектите на данни за служителите. Такъв мониторинг може да включва, но не непременно да се ограничава до интернет и електронно наблюдение. В случай че трябва да се извърши мониторинг от всякакъв вид (освен ако изключителни обстоятелства, като например разследване на престъпна дейност или въпрос с еднаква тежест, оправдават скрит мониторинг), субектите на данни ще бъдат информирани за точния характер на мониторинга в предварително.

20.2 Наблюдението не следва (освен ако изключителни обстоятелства го оправдават, както е посочено 20.1) да се намесва в нормалните задължения на служителя.

20.3 Наблюдението ще се извършва само ако Дружеството счита, че е необходимо да се постигне ползата, която е предназначена да се постигне. Личните данни, събрани по време на всяко такова наблюдение, ще бъдат събирани, съхранявани и обработвани само по причини, пряко свързани с (и необходими за) постигането на планирания резултат и по всяко време, в съответствие с правата на субектите на данни за работниците и служителите задължения по Регламента.

20.4 Дружеството трябва да гарантира, че няма ненужно навлизане на личните комуникации или дейности на субектите на данни на служителите и при никакви обстоятелства мониторингът няма да се извършва извън обичайното работно място на работното лице или работното време, освен ако съответното лице, използва фирмено оборудване или други съоръжения, включително, но не само, имейл на фирмата, фирмен интранет или виртуална частна мрежа („ВЧМ“), предоставяна от компанията за използване от служителите.

21. Сигурност на данните – съхранение

Дружеството гарантира, че са предприети следните мерки по отношение на съхраняването на лични данни (включително, но не само, лични данни, свързани със служителите):

21.1 Всички електронни копия на лични данни трябва да се съхраняват сигурно, като се използват пароли.

21.2 Всички хартиени копия на лични данни, както и всички електронни копия, съхранявани на физически, подвижни носители, трябва да се съхраняват сигурно в заключена кутия, чекмедже, шкаф или други подобни;

21.3 Всички лични данни, съхранявани по електронен път, трябва да бъдат архивирани;

22. Сигурност на данните – изхвърляне

Когато всички лични данни трябва да бъдат изтрити или изхвърлени по друг начин по каквато и да е причина (включително когато са направени копия и вече не са необходими), те трябва да бъдат напълно заличени и унищожени чрез шредер.

23. Сигурност на данните – използване на лични данни

Дружеството гарантира, че са предприети следните мерки по отношение на използването на лични данни:

23.1 Никакви лични данни не могат да бъдат споделяни неофициално и ако служител, агент, подизпълнител или друга страна, работеща от името на Дружеството, изисква достъп до лични данни, до които те вече нямат достъп;

23.2 Никакви лични данни не могат да бъдат прехвърляни на служители, агенти, изпълнители или други лица, независимо дали тези страни работят от името на Дружеството или не;

23.3 Личните данни трябва да се обработват с грижата по всяко време и не трябва да бъдат оставени без надзор;

23.4 Ако се разглеждат лични данни на компютърния екран и въпросният компютър трябва да остане без надзор за определен период от време, потребителят трябва да изключи компютъра и екрана, преди да напусне компютъра; и

23.5 Когато личните данни, съхранявани от Дружеството, се използват за маркетингови цели, отговорността му е да се гарантира, че съответното съгласие е получено и че никой субект на данни не се е отказал пряко или чрез услуга от трета страна;

24. Сигурност на данните – ИТ сигурност

Дружеството гарантира, че са предприети следните мерки по отношение на ИТ и информационната сигурност:

24.1 Всички пароли, използвани за защита на личните данни, трябва да се променят редовно и не трябва да използват думи или фрази, които лесно могат да бъдат познати или компрометирани по друг начин. Всички пароли трябва да съдържат комбинация от главни и малки букви, цифри и символи.

24.2 При никакви обстоятелства пароли не трябва да се записват или да се споделят между служители, агенти, изпълнители или други страни, които работят от името на Дружеството, независимо от старшинството или отдела. Ако паролата е забравена, тя трябва да бъде нулирана чрез приложимия метод. ИТ персоналът няма достъп до пароли;

24.3 Всички софтуерни продукти (включително, но не само, приложения и операционни системи) се актуализират. ИТ персоналът на Компанията/доставчикът на програмния продукт отговаря за инсталирането на всички актуализации, свързани със сигурността ;

24.4 Не може да се инсталира софтуер на нито един компютър или устройство, собственост на компанията, без предварителното одобрение.

25. Организационни мерки

Дружеството гарантира, че са взети следните мерки по отношение на събирането, притежаването и обработката на лични данни:

25.1 Всички служители, изпълнители или други страни, които работят от името на Дружеството, трябва да бъдат напълно запознати както с техните индивидуални отговорности, така и с отговорностите на Дружеството съгласно GDPR и съгласно тази Политика и им се предоставя копие от тази Политика;

25.2 Само лицата, изпълнителите и подизпълнителите или други лица, работещи от името на Дружеството, които се нуждаят от достъп и ползване на лични данни, за да изпълняват правилно своите задачи, имат достъп до лични данни, съхранявани от Дружеството;

25.3 Всички служители, изпълнители или други лица, работещи от името на Дружеството, обработващи лични данни, ще бъдат обучени по подходящ начин за това;

25.4 Всички служители, изпълнители или други страни, работещи от името на Дружеството, обработващи лични данни, ще бъдат надлежно контролирани;

25.5 Всички служители, изпълнители или други страни, работещи от името на Дружеството, работещи с лични данни, се задължават да полагат грижи, предпазливост и дискретност, когато обсъждат въпроси, свързани с работата, свързани с лични данни, независимо дали на работното място или в противен случай;

26. Уведомяване за нарушаване на данните

26.1 Всички нарушения на правилата за работа с лични данни трябва да бъдат съобщени незабавно на Дружеството.  

26.2 Ако се случи нарушение на лични данни и това нарушение има вероятност да доведе до риск за правата и свободите на субектите на данни за служителите (напр. Финансови загуби, нарушаване на поверителността, дискриминация, репутационни щети или други значителни социални или икономически щети), КЗЛД се информира незабавно за нарушението и при всички случаи в рамките на 72 часа след като е узнала за него.

26.3. Известията за нарушаване на данни включват следната информация:

• Категориите и приблизителния брой на засегнатите субекти на данни за служителите;
• Категориите и приблизителния брой записи на лични данни;
• Името и данните за контакт на служителя на компанията за защита на данните (или друго звено за контакт, където може да се получи повече информация);
• Вероятните последици от нарушението;
• Подробности за взетите или предложени за предприемане мерки от страна на Дружеството за справяне с нарушението, включително, когато е целесъобразно, мерки за смекчаване на евентуалните неблагоприятни последици.

27. Изпълнение на политиката

Настоящата Политика се счита за в сила от  25.05.2018 г. Нито една част от тази Политика няма да има обратно действие и следователно ще се прилага само за въпроси, настъпили на или след тази дата.