Настоящата Политика за защита на личните данни („Политика“) е изготвена от “САМИ - М“ ЕООД 113016443 („САМИ - М“/“Дружеството“/“Ние“) с цел да предостави на всички заинтересовани лица достъпна и разбираема информация относно личните данни, които обработва и относно условията и реда, по който физическите лица, чиито лични данни се обработват могат да упражняват правата си съгласно законодателството за защита на личните данни.
„САМИ – М“ EOOД е дружество, учредено в съответствие със законодателството на Република България, регистрирано в Търговския регистър към Агенцията по вписванията с ЕИК 113016443.
Дружеството е сред водещите производители на месни и безмесни продукти в Република България и притежава необходимите лицензии и разрешителни за осъществяване на своята дейност. Дружеството е въвело и прилага високи стандарти в своята производствена и административна дейност, в това число сертифицирани системи за управление на качеството (СУК) от независими одитни институции.
Катерина Владкова Ванова
Ел. адрес: k.vanova@sami-m.com
Телефон: 0884 117 588
Факс: 076 602 109
За целите на настоящата Политика за защита на личните данни:
„Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;
„Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;
„Ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;
„Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;
„Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;
„Регистър с лични данни“ означава регистър на дейности по обработване по смисъла на чл. 30 от ОРЗД;
„Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;
„Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;
„Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;
„Съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;
„Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;
„Данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;
„Надзорен орган“ означава Комисия за защита на личните данни
„ОРЗД“ или „Регламент (ЕС) 2016/679“ означава РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)
САМИ - М обработва и защитава личните данни, събрани при изпълнение на дейността му разумно, при спазване изискванията на приложимото законодателство, зачитане на правата и свободите на физическите лица и съобразно следните принципи:
Личните данни се обработват законосъобразно, добросъвестно и по прозрачен за субектите на данни начин.
Служителите- работниците на Дружеството, които обработват лични данни преминават първоначално и периодични обучения за поверителност и се запознават с приложимите законови, подзаконови и вътрешно-дружествени правила касаещи защита на личните данни.
Дружеството обработва лични данни по различни законни причини и с различни бизнес цели в обичайния ход на неговата дейност.
По-долу е предоставен общ преглед на целите, за които Дружеството може да обработва лични данни.
Обработването за тази цел включва данни, предоставени от доставчици, клиенти и партньори на Дружеството; както и други данни предоставени по повод сключване и изпълнение на всякакъв вид търговски и граждански договори и едностранни сделки.
Обработването за тази цел включва данни за посетителите на обектите на Дружеството и за служителите-работниците на Дружество, в това число здравни данни на служителите с оглед изпълнение на изискванията съгласно Закона за храните и Наредба № 15 от 27 юни 2006 г. за здравните изисквания към лицата, работещи в детските заведения, специализираните институции за деца и възрастни, водоснабдителните обекти, предприятията, които произвеждат или търгуват с храни, бръснарските, фризьорските и козметичните салони.
Обработването за тази цел включва данни, предоставени във връзка с изпълнение на всякакъв род дейности на служителите на територията на Дружеството.
Обработването за тази цел включва данни, предоставени за целите на водената кореспонденция в обичайния ход на административно-деловодната, производствената и търговската дейност на Дружеството и като част от нейното необходимо съдържание.
Обработването за тази цел включва данни, чието обработване се основава на нормативен акт.
Обработването за тази цел включва данни, чието обработване е необходимо за тази цел.
За да може да обработва лични данни, Дружеството е възможно да се позовава на различни правни основания, като:
Необходимост от установяване на договорно отношение с лицето и с цел изпълнение на неговите задължения по силата на договор;
В зависимост от това кои са лицата и какви са отношенията им с Дружеството (напр. доставчик, клиент, бизнес партньор, служител - работник и т.н.), както и от начина на взаимодействие с Дружеството (напр. данни събрани чрез предоставянето им на хартиен или електронен носител, данни изпратени по електронна поща, данни събрани по телефона и т.н.), ние може да обработваме различни данни за идентифициране, които субектите на данни ни предоставят или които са събрани от други източници.
Доколкото позволява приложимото законодателство, Дружеството може да получава информация от публично достъпни регистри или други публични бази данни, от упълномощители, партньори или съдружници на лицата, от работодатели на лицата, които изпълняват дейности на територията на Дружеството, от компетентни държавни органи (в рамките на техните правомощия по закон) и други разрешени от закона източници.
По-долу представяме общ преглед на категориите данни, които е възможно да събираме:
Дружеството предоставя лични данни само в ограничените случаи, описани тук.
Ако е необходимо за изпълнението на целите описани в тази Политика, е възможно да бъдат разкрити лични данни на следните лица:
Изброените по-горе лица може да се нуждаят от достъп до лични данни, за да изпълняват функциите си. Дружеството изисква от своите доставчици на услуги да осигурят поверителността и сигурността на личните данни, които обработват по възлагане от Дружеството и да не ги използват за други цели, различни от тези, поради които са ангажирани с това задължение.
При предоставяне на лични данни на лица, установени в рамките на държава-членка на Европейския съюз, личните данни се ползват с нивото на защита, предоставено от Регламент (ЕС) 2016/679, както и свързаните с него нормативни актове на Европейския съюз.
При предоставяне на лични данни в държави, намиращи се извън Европейското икономическо пространство, следва да се вземе предвид, че Европейската комисия признава някои от тези държави като осигуряващи адекватно ниво на защита. Това може да бъде проверено на официалната страница на Европейската комисия, както и на сайта на Комисията за защита на личните данни в Република България.
По отношение на предоставяне на данни до други държави, които не са признати от Европейската комисия като осигуряващи адекватно ниво на защита, Дружеството внедрява адекватни мерки за защита на данните, като например организационни и правни мерки (например подписване на одобрени от Европейската комисия стандартни договорни клаузи).
Дружеството съхранява лични данни толкова време, колкото е необходимо за постигане на целите, за които са събрани. Следва да се отбележи, че в определени случаи по закон може да се изисква или да се разрешава по-продължително съхранение, в този случай, Дружеството ще съхранява данните съгласно тези нормативно определени срокове.
Използваните от САМИ - М критерии за определяне на сроковете за съхранение включват:
Дружеството е предприело необходимите мерки в съответствие с действащите разпоредби за защита и сигурност на личните, като Дружеството ще изисква от своите доставчици на услуги (обработващи лични данни) да прилагат аналогични или по-строги мерки за защита и сигурност на личните данни. В зависимост от естеството на данните, които следва да бъдат защитени, САМИ - М е внедрил технически и организационни мерки, за да предотврати рискове като унищожаване, загуба, изменение, неразрешено оповестяване или достъп до лични данни. Тези мерки са описани в Политиката за информационна сигурност на САМИ – М.
Лицата, предоставящи лични данни носят отговорност да осигурят, доколкото им е известно, точни, пълни и актуални данни.
Субектите на лични данни имат следните права относно техните лични данни:
Право на достъп
При поискване, САМИ - М предоставя на субект на лични данни следната информация:
При искане от лицето, САМИ - М може да предостави копие от личните данни, които са в процес на обработване. При предоставяне на копие от лични данни, САМИ - М не може да разкрива следните категории данни: лични данни на трети лица, освен ако същите не са изразили изричното си съгласие за това; данни, които представляват търговска тайна, интелектуална собственост или конфиденциална информация; друга информация, която е защитена съгласно приложимото законодателство.
Предоставянето на достъп на субекти на лични данни не може да влияе неблагоприятно върху правата и свободите на трети лица или да доведе до нарушаване на нормативно задължение на САМИ - М.
Правото на коригиране
Субекти на данни могат да поискат личните им данни, обработвани от САМИ - М, да бъдат коригирани, в случай че последните са неточни или непълни. При удовлетворено искане за коригиране на лични данни, САМИ - М уведомява другите получатели, на които са били разкрити данните (например държавни органи, доставчици на услуги), така че те да могат да отразяват измененията.
Право на изтриване (право „да бъдеш забравен“)
При поискване, САМИ - М е задължен да изтрие лични данни, ако е налице някое от следните основания:
САМИ - М не е задължен да изтрие личните данни, доколкото обработването е необходимо:
Право на ограничаване на обработването
Субектът на данните има право да изиска ограничаване на обработването, когато се прилага едно от следното:
САМИ - М може да обработва лични данни, чието обработване е ограничено, само за следните цели:
Когато субект на данните е поискал ограничаване на обработването и е налице някое от основанията по-горе, САМИ - М го информира преди отмяната на ограничаването на обработването.
Правото на преносимост на данните
Лицето има право да получи личните данни, които го засягат и които то е предоставило на САМИ - М, в структуриран, широко използван и пригоден за машинно четене формат.
При поискване, тези данни могат да бъдат прехвърлени на друг администратор, посочен от субекта на лични данни, когато това е технически осъществимо
Субектът на личните данни може да упражни правото на преносимост в следните случаи:
Правото на преносимост не може да влияе неблагоприятно върху правата и свободите на други лица.
Право на възражение
Субектът на данните има право да възрази срещу обработване на негови лични данни от САМИ - М, ако данните се обработват на едно от следните основания:
Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.
Право на възражение срещу лични данни за целите на директния маркетинг
По правило, САМИ - М не обработва лични данни за целите на директния маркетинг. Въпреки това, с оглед изчерпателността на информацията, която предоставя с настоящата Политика, Дружеството уведомява за следното:
Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни за тази цел, включително по отношение на профилиране, свързано с директния маркетинг. Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.
Право на човешка намеса при автоматизирано вземане на решения
По правило, САМИ - М не взима решения, основаващо се единствено на автоматизирано обработване, включващо профилиране в своята дейност. Въпреки това, с оглед изчерпателността на информацията, която предоставя с настоящата Политика, Дружеството уведомява за следното:
В случаите, когато администраторът взима автоматизирани индивидуални решения, включващи или изключващи профилиране, които пораждат правни последствия за физически лица или ги засягат в значителна степен по подобен начин, тези лица могат да поискат преразглеждане на решението с човешка намеса, както и да изразят гледната си точка. Администраторът предоставя на физическите лица-обект на автоматизирано вземане на решения съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за лицето.
Субектите на лични данни могат да упражнят правата съгласно тази Политика като подадат искане на упражняване на съответното право.
Искане за упражняване на правата на субектите на лични данни могат да бъдат подадени по следния начин:
Искането за упражняване на права на лични данни следва да съдържа следната информация:
САМИ - М предоставя информация относно действията, предприети във връзка с искане за упражняване на правата на субектите, в срок от един месец от получаване на искането.
При необходимост този срок може да бъде удължен с още един месец, като се взема предвид сложността и броя на исканията от определено лице. САМИ - М информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето.
САМИ - М не е задължен да отговори на искане, в случай че не е в състояние да идентифицира субекта на данните.
САМИ - М може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.
Когато искането е подадено с електронни средства, по възможност информацията се предоставя с електронни средства съгласно Закона за електронния документ и електронния подпис.
Когато исканията за достъп са явно неоснователни или прекомерни, особено поради своята повторяемост, САМИ - М може да начисли разумна такса въз основа на административните разходи за предоставяне на информацията или да откаже да отговори на искането за достъп. САМИ - М преценява за всеки отделен случай дали дадено искане е явно неоснователно или прекомерно.
При отказ на искане на субекта на данни за упражняване на неговите права, САМИ - М аргументира отказа си и информира субекта на данни за правото му да подаде жалба до Комисия за защита.
Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Дружеството без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.
Дружеството няма да изпраща такова съобщение, в случаите когато:
В качеството си на администратор, САМИ-М води регистри за дейностите по обработване, които са обособени според целите и основанието на обработване, субектите на данни и други специфики за конкретна дейност.
Регистрите съдържат следната информация:
Регистрите се водят от ръководителите на отделите, които осъществяват съответните дейности и се одобряват от Управителя на САМИ-М.
Уведомление за поверителност
1.1. При осъществяване на селекция на персонал на кандидатите се предоставя уведомление за поверителност съгласно Приложение № 1 от настоящите Правила.
1.2. Уведомлението се предоставя преди подаването на кандидатурата. Като изключение, при невъзможност уведомлението да бъде предоставено преди получаване на кандидатурата, уведомлението може да бъде предоставено непосредствено след получаване на кандидатурата на лицето.
1.3. Уведомлението се предоставя по подходящ и достъпен начин с оглед на начина на получаване на кандидатурите. При обява за работа, публикувана на уебстраницата на САМИ - М или в уебсайт за търсене на работа, уведомлението може да бъде приложено към обявата.
Лични данни, обработвани за целите на селекция на персонал, и основания за обработка
Личните данни, които обикновено се обработват при селекция на кандидати за работа, са следните:
Предоставените лични данни ще бъдат използвани за следните цели:
Данните, предоставени с кандидатура за определена позиция, се обработват само за селекцията за конкретната позиция въз основа на дадено съгласие, демонстрирано чрез подаване на кандидатура.
При наличието на изрично съгласие от страна на кандидата, кандидатурата и приложените документи могат да бъдат запазени и разгледани за бъдещи позиции, обявени от САМИ - М.
Съгласието за обработване данните на кандидатите при последващи селекции на кадри се удостоверява чрез подписана форма за съгласие съгласно Приложение № 2 от настоящите Правила.
Уведомление за поверителност
Лични данни, обработвани за целите на трудовото правоотношение, и основания за обработка
Личните данни на служителите-работниците, които могат да се обработват за целите на трудовото правоотношение, са следните:
САМИ - М може да обработва здравни данни на свои служители-работници (болнични листове, ТЕЛК и НЕЛК решения, здравни книжки, други) за изпълнението на своите права и задължения като работодател съгласно българското трудовото и социално-осигурително законодателство, или за установяване и упражняване на правни претенции. Болничните листове и други документи, съдържащи здравни или други чувствително данни се предават пряко от служителя-раоботника на друг служител-работник от Дирекция Човешки ресурси с оглед тяхното обработване за целите на трудовото и социално-осигурителното законодателство. Ако по обективни причини е невъзможно документи, съдържащи чувствителни лични данни на служителя-работника, да бъдат предадени по реда на предходното изречение, такива документи се предават на прекия ръководител задължително в запечатан непрозрачен плик и прекият ръководител предава запечатания плик на съответния служител от Дирекция Човешки ресурси за обработка. Отчитането на предадените пликове може да става с приемо-предавателен протокол (в който се забранява отразяване на чувствителни данни за конкретен служител).
При обработка на чувствителни данни на служители-работници, за цели различни от целите, посочени в тези Правила, компетентните служители-работници следва да се допитат до Дирекция Правна/Съответствие и Длъжностното лице за защита на личните данни на САМИ - М. Обработка на такива данни е възможна само след получаване на изрично писмено съгласие на служителя-работника или при наличие на някое от основанията на чл. 9 от Регламент (ЕС) 2016/679.
САМИ - М поддържа вътрешна платформа с информация на служителите-работниците за целите на управление на човешките ресурси и подобряване комуникацията между отделните звена в Дружеството. Служителите-работницните предоставят своя снимка, която да бъде приложена и да се вижда в платформата, с оглед идентификация за целите на осигуряване на сигурност и безопасни условия за работа на обектите на САМИ-М и намиращите се на тяхна територия лица.
При обработка на лични данни на служители-работници за допълнителни цели (например предоставяне на допълнителни облаги, при което лични данни на служители-работници се разкриват на трети лица; предоставяне на лични данни на служители-работницни на други дружества в Групата на САМИ - М), компетентните служители-работници определят дали са изпълнени изискванията на законодателството за защита на личните данни, включително но не само:
i) Дали служителите-работницните са уведомени за целите на обработката на данни и получателите на данни (включително категориите получатели на данни), както и за другата информация съгласно чл. 13 от Регламент (ЕС) 2016/679.
ii) Дали е налице основание за обработка на данни съгласно чл. 6 от Регламент (ЕС) 2016/679.
iii) При трансфер на данни извън Европейския съюз – дали са спазени законовите изисквания за това.
iv) Дали са спазени други приложими изисквания.
Контрол за спазване на работното време чрез система за достъп или по друго начини може да се осъществява, след като служителите-работницните са изрично уведомени за целите, за които се обработват личните им данни.
Документи, събирани при сключване на трудов договор
При назначаване на служители-работници по трудово правоотношение се събират следните документи при спазване на приложимото законодателство, а именно:
i) Лична карта или друг документ за самоличност (международен паспорт, документ за управление на моторно превозно средство) за идентификация на лицето. Документът се използва само за идентификация на лицето и се връща веднага, без да се прави копие.
ii) Документи за придобито образование, специалност, квалификация, правоспособност, научно звание или научна степен, когато такива се изискват за длъжността или работа, за която лице кандидатства.
iii) Документи за стаж по специалността, когато за длъжността или работата се изисква притежаването на такъв стаж.
iv) Документ за медицински преглед се изисква при първоначално постъпване на работа и след преустановяване на трудовата дейност по трудово правоотношение за срок над 3 месеца.
v) Свидетелство за съдимост се изисква за позициите, изброени в Приложение 4 към тези Правила.
vi) Документ за банкова сметка.
vii) Други документи, които се изискват съгласно приложимото законодателство или с оглед спецификите на конкретната длъжност.
3. Граждански договор
3.1. Граждански договор по смисъла на тези Правила е договор за предоставяне на услуги, по който страна е физическо лице.
Уведомление за поверителност
При сключването на граждански договор с лицето се предоставя уведомление за поверителност съгласно Приложение № 3 от настоящите Правила.
Лични данни, обработвани за целите на гражданско правоотношение, и основания за обработка
Личните данни, които се обработват при селекция на кандидати, са следните:
Предоставените лични данни ще бъдат използвани за целите на гражданското правоотношение.
Документи, събирани при сключване на граждански договор
При сключване на граждански договор, САМИ - М може да събира следните документи:
1. Лична карта или друг документ за самоличност (международен паспорт, документ за управление на моторно превозно средство) за идентификация на лицето. Документът се използва само за проверка личността на лицето и се връща веднага, без да се прави копие.
2. Документи за придобито образование, специалност, квалификация, правоспособност, научно звание или научна степен, когато такива се изискват с оглед предмета на договора.
3. Документ за банкова сметка.
4. Други документи, които се изискват съгласно приложимото законодателство или с оглед спецификите на предмета на договора.
Права на служителите-работниците и лицата по гражданско правоотношение по отношение на личните данни
Кандидатите за работа, служителите-работниците и лицата, които предоставят услуги по граждански договор, имат правата на субект на лични данни по смисъла и реда на Правилата за упражняване на субектите на лични данни на САМИ - М.
Съгласие за ползване на допълнителни социални придобивки
При наличието на изрично съгласие от страна на служител-работник или лице на гражданско правоотношение същият може да се ползва от допълнителните социални придобивки, осигурявани от САМИ - М.
Съгласието за трансфер на данните на служителите-работниците и лицата на гражданско правоотношение за ползване на допълнителни социални придобивки се удостоверява чрез подписана форма за съгласие съгласно Приложение № 4 от настоящите Правила.
Настоящата Политика може да бъде променяна периодично.
Тази Политика за защита на личните данни е актуализирана за последен път на 10.09.2018г.