Предназначение, обхват и ползватели
БАШАРАН ТЕКСТИЛ ЕООД, наричана по-долу „Дружеството“, се стреми да спазва приложимите закони и разпоредби, свързани със защитата на личните данни в държавите, в които Дружеството оперира. Тази политика определя основните принципи, чрез които компанията обработва личните данни на потребители, клиенти, доставчици, бизнес партньори, служители и други лица, и посочва отговорностите на бизнес отделите и служителите по време на обработката на лични данни. Политиката важи за Дружеството и неговите пряко или непряко контролирани изцяло притежавани дъщерни дружества, които извършват дейност в рамките на Европейското икономическо пространство или обработват личните данни на субекти на данни в Европейското икономическо пространство. Потребителите на този документ са всички служители, постоянни или временни, както и всички изпълнители, които работят от името на Организацията.
Референтни документи
Настоящата политика се основава на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица при обработването на лични данни и свободното движение на такива данни, както и на съответното национално законодателство или правила за прилагане на GDPR. Политиката е свързана с Политиката за защита на личните данни на служителите, Политиката за съхранение на данни, описанието на длъжността на служителя по защита на данните, насоките за опис и обработка на данни, процедурите за заявка за достъп на физически лица, оценка на въздействието върху защитата на данните, трансграничен трансфер на лични данни, политиките за информационна сигурност и процедурата за уведомяване за нарушение.
Дефиниции
Термините, използвани в този документ, са дефинирани в Общия регламент относно защитата на данните. Лични данни означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано пряко или непряко чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социалната идентичност на това лице. Чувствителни лични данни са лични данни, които по своята същност са особено чувствителни и включват данни за расов или етнически произход, политически възгледи, религиозни или философски убеждения, членство в синдикати, генетични и биометрични данни, данни за здравето, сексуалния живот или сексуалната ориентация на физическо лице. Администратор на данни е физическо или юридическо лице, публичен орган, агенция или друга структура, която определя целите и средствата за обработването на лични данни. Обработващ данни е лице или структура, която обработва лични данни от името на администратора. Обработване означава всяка операция или съвкупност от операции с лични данни, включително събиране, записване, съхранение, използване, разкриване, подреждане, комбиниране, ограничаване, изтриване или унищожаване. Псевдонимация означава обработване на лични данни по начин, при който те не могат да бъдат свързани с конкретен субект без допълнителна информация, съхранявана отделно и защитена чрез технически и организационни мерки. Трансгранично обработване означава обработване на лични данни, което се осъществява в повече от една държава членка или засяга субекти на данни в повече от една държава членка. Надзорен орган е независим публичен орган, създаден съгласно член 51 от Регламента. Водещ надзорен орган е органът, който носи основната отговорност за трансграничната дейност по обработване на данни. Основно място на установяване означава мястото, където се намира централното управление или където се вземат решенията относно обработването на лични данни. Групово предприятие означава контролиращо предприятие и контролираните от него предприятия.
Основни принципи, отнасящи се до обработката на лични данни
Принципите за защита на данните очертават основните отговорности на организациите, обработващи лични данни. Администраторът носи отговорност и трябва да може да докаже спазването на тези принципи. Личните данни трябва да се обработват законосъобразно, честно и прозрачно. Те трябва да се събират за конкретни и законосъобразни цели и да се обработват само доколкото е необходимо. Данните трябва да бъдат точни и актуални, да се съхраняват не по-дълго от необходимото и да се обработват по начин, който гарантира тяхната сигурност, поверителност и защита срещу неразрешен достъп, загуба или унищожаване. Администраторите трябва да могат да докажат съответствие с тези принципи.
Изграждане на защита на данните в бизнес процесите
За да се докаже съответствие с принципите за защита на данните, Дружеството трябва да интегрира защитата на данните във всички свои бизнес процеси. Компанията трябва да събира възможно най-малко лични данни, да гарантира законността на събирането им и да осигури тяхната точност, целостта и поверителността. Използването, съхранението и премахването на лични данни трябва да съответстват на информацията, предоставена в известията за поверителност. При използване на трети страни за обработване на лични данни Дружеството трябва да гарантира, че те осигуряват адекватно ниво на защита и обработват данните само по нареждане на Дружеството. При трансграничен трансфер на лични данни трябва да се прилагат подходящи предпазни мерки и да се получат необходимите разрешения. Субектите на данни трябва да имат достъп до своите данни и право на корекция, изтриване, преносимост и упражняване на правото да бъдат забравени.
Насоки за добросъвестна обработка
Личните данни трябва да се обработват само при наличие на законно основание. По време на или преди събирането на лични данни субектите трябва да бъдат надлежно информирани чрез известие за поверителност относно целите на обработването, получателите на данните и евентуалния трансфер към трети държави. Когато обработването се основава на съгласие, операторът на данни трябва да гарантира, че съгласието е документирано и може да бъде оттеглено по всяко време. Данните трябва да се обработват само за първоначално определените цели, а при промяна на целта трябва да се поиска ново съгласие. Операторът на данни отговаря за поддържането на регистър на известията за поверителност.
Организация и отговорности
Отговорността за правилната обработка на личните данни се носи от всички лица, които работят за или с Дружеството и имат достъп до лични данни. Основните роли включват оператор на данни, секретар и служител по защита на данните. Операторът на данни отговаря за сигурността на системите, одобряването на декларации за защита на данните и взаимодействието със служителя по защита на данните. Секретарят отговаря за повишаване на информираността, обучението на служителите и защитата на личните данни на служителите, както и за управлението на отношенията с доставчици. Отделът за поръчки и доставки трябва да гарантира правото на Дружеството да извършва одит на доставчиците.
Действия при инциденти с нарушаване на личните данни
При предполагаемо или действително нарушение на личните данни трябва да се извърши вътрешно разследване и да се предприемат подходящи коригиращи мерки. Когато съществува риск за правата и свободите на субектите на данни, компетентните органи трябва да бъдат уведомени без неоснователно забавяне и при възможност в рамките на 72 часа.
Одит и отговорност
Секретарят и операторът на данни отговарят за одита на прилагането на тази политика. Нарушенията могат да доведат до дисциплинарни мерки и до гражданска или наказателна отговорност.
Конфликт със закона
В случай на конфликт между тази политика и приложимите закони и разпоредби, законите и разпоредбите имат предимство.
Валидност и управление на документите
Този документ е валиден и последно актуализиран на 18.05.2018 г. Собственик на документа е операторът на данни, който трябва да го преглежда и при необходимост да го актуализира най-малко веднъж годишно.
