Политика за защита на личните данни

Политика за защита на личните данни

Настоящата Политика за защита на личните данни („Политика“) е изготвена от “САМИ - М“ ЕООД 113016443 („САМИ - М“/“Дружеството“/“Ние“) с цел да предостави на всички заинтересовани лица достъпна и разбираема информация относно личните данни, които обработва и относно условията и реда, по който физическите лица, чиито лични данни се обработват могат да упражняват правата си съгласно законодателството за защита на личните данни.

Информация за дружеството

„САМИ – М“ EOOД е дружество, учредено в съответствие със законодателството на Република България, регистрирано в Търговския регистър към Агенцията по вписванията с ЕИК 113016443.

Дружеството е сред водещите производители на месни и безмесни продукти в Република България и притежава необходимите лицензии и разрешителни за осъществяване на своята дейност. Дружеството е въвело и прилага високи стандарти в своята производствена и административна дейност, в това число сертифицирани системи за управление на качеството (СУК) от независими одитни институции.

Длъжностно лице по ЗЗЛД

Катерина Владкова Ванова
Ел. адрес: k.vanova@sami-m.com
Телефон: 0884 117 588
Факс: 076 602 109

Дефиниции

За целите на настоящата Политика за защита на личните данни:

Лични данни“ означава всяка информация, свързана с идентифицирано физическо лице или физическо лице, което може да бъде идентифицирано („субект на данни“); физическо лице, което може да бъде идентифицирано, е лице, което може да бъде идентифицирано, пряко или непряко, по-специално чрез идентификатор като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци, специфични за физическата, физиологичната, генетичната, психическата, умствената, икономическата, културната или социална идентичност на това физическо лице;

Обработване“ означава всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване;

Ограничаване на обработването“ означава маркиране на съхранявани лични данни с цел ограничаване на обработването им в бъдеще;

Профилиране“ означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти, свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение;

Псевдонимизация“ означава обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано;

Регистър с лични данни“ означава регистър на дейности по обработване по смисъла на чл. 30 от ОРЗД;

Администратор“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която сама или съвместно с други определя целите и средствата за обработването на лични данни; когато целите и средствата за това обработване се определят от правото на Съюза или правото на държава членка, администраторът или специалните критерии за неговото определяне могат да бъдат установени в правото на Съюза или в правото на държава членка;

Обработващ лични данни“ означава физическо или юридическо лице, публичен орган, агенция или друга структура, която обработва лични данни от името на администратора;

Трета страна“ означава физическо или юридическо лице, публичен орган, агенция или друг орган, различен от субекта на данните, администратора, обработващия лични данни и лицата, които под прякото ръководство на администратора или на обработващия лични данни имат право да обработват личните данни;

Съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени;

Нарушение на сигурността на лични данни“ означава нарушение на сигурността, което води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин;

Данни за здравословното състояние“ означава лични данни, свързани с физическото или психическото здраве на физическо лице, включително предоставянето на здравни услуги, които дават информация за здравословното му състояние;

Надзорен орган“ означава Комисия за защита на личните данни

ОРЗД“ или „Регламент (ЕС) 2016/679“ означава РЕГЛАМЕНТ (ЕС) 2016/679 НА ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

 

Основни принципи при работа с ЛД

САМИ - М обработва и защитава личните данни, събрани при изпълнение на дейността му разумно, при спазване изискванията на приложимото законодателство, зачитане на правата и свободите на физическите лица и съобразно следните принципи:

  • Личните данни се обработват законосъобразно, добросъвестно и по прозрачен за субектите на данни начин.

  • Личните данни се събират за конкретни, точно определени и законни цели и не се обработват допълнително по начин, несъвместим с тези цели.
  • Личните данни, които се събират и обработват, са съотносими, свързани с и ненадхвърлящи целите, за които се обработват.
  • Личните данни са точни и при необходимост се актуализират. Личните данни се заличават или коригират, когато се установи, че са неточни или непропорционални по отношение на целите, за които се обработват.
  • Личните данни се поддържат във вид, който позволява идентифициране на съответните физически лица за период не по-дълъг от необходимия за целите, за които тези данни се обработват.
  • Личните данни се обработват по начин, който гарантира подходящо ниво на сигурност, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане;

Служителите- работниците на Дружеството, които обработват лични данни преминават първоначално и периодични обучения за поверителност и се запознават с приложимите законови, подзаконови и вътрешно-дружествени правила касаещи защита на личните данни.

Цели за обработването на данни

Дружеството обработва лични данни по различни законни причини и с различни бизнес цели в обичайния ход на неговата дейност.

По-долу е предоставен общ преглед на целите, за които Дружеството може да обработва лични данни.

  • Сключване и/или изпълнение на договори и едностранни сделки: дейности, свързани с изпълнението на задължения и упражняване на права по повод на преддоговорни и договорни отношения, с упълномощаване и оттегляне на пълномощни, установяване на контакти, получаване и предоставяне на стоки и/или услуги.

Обработването за тази цел включва данни, предоставени от доставчици, клиенти и партньори на Дружеството; както и други данни предоставени по повод сключване и изпълнение на всякакъв вид търговски и граждански договори и едностранни сделки.

  • Осигуряване устойчива и ефективна система за управление на контролирано качество съгласно добрите производствени практики и изискванията за безопасност на храните съгласно европейското и националното законодателство: Като производител на продукти от хранително вкусовия сектор, САМИ-М е задължено да спазва нормативни изисквания за осигуряване на качеството и безопасност на произвежданите храни.

Обработването за тази цел включва данни за посетителите на обектите на Дружеството и за служителите-работниците на Дружество, в това число здравни данни на служителите с оглед изпълнение на изискванията съгласно Закона за храните и Наредба № 15 от 27 юни 2006 г. за здравните изисквания към лицата, работещи в детските заведения, специализираните институции за деца и възрастни, водоснабдителните обекти, предприятията, които произвеждат или търгуват с храни, бръснарските, фризьорските и козметичните салони.

  • Осигуряване на трудова безопасност: дейности по осигуряване на здравословни и безопасни условия на труд за служителите-работниците на САМИ-М и провеждане на вътрешни одити и осъществяване на контрол за спазване на правилата за трудова безопасност.

Обработването за тази цел включва данни, предоставени във връзка с изпълнение на всякакъв род дейности на служителите на територията на Дружеството.

  • Водене на кореспонденция: дейности, свързани с обработване на входяща кореспонденция, получена от контрагенти по договори, от едноличния собственик, от лица, подали запитвания, молби, искания  и т.н., чрез обявените средства за контакт , като, пощенски адрес, електронна поща, факс, телефон и др., и изпращане на изходяща кореспонденция (отговори, запитвания, сигнали и др.).

Обработването за тази цел включва данни, предоставени за целите на водената кореспонденция в обичайния ход на административно-деловодната, производствената и търговската дейност на Дружеството и като част от нейното необходимо съдържание.

  • Спазване на законови задължения и процедури: дейности, които Дружеството е задължено да извършва съгласно нормативен акт, като водене на счетоводство и отчетност, извършване на одити, спазване на изискванията при инспекции от държавни органи; спазване на законови процедури, разкриване на данни пред държавни и съдебни органи, както и пред други оправомощени лица и организации.

Обработването за тази цел включва данни, чието обработване се основава на нормативен акт.

  • Защита на правата и законните интереси на Дружеството по административен или съдебен ред: дейности по установяване, упражняване или защита на права пред административни и съдебни органи.

Обработването за тази цел включва данни, чието обработване е необходимо за тази цел.

 

Правно основание

За да може да обработва лични данни, Дружеството е възможно да се позовава на различни правни основания, като:

  • Необходимост от установяване на договорно отношение с лицето и с цел изпълнение на неговите задължения по силата на договор;

  • Необходимостта Дружеството да спази законови задължения
  • Необходимостта Дружеството да установява и упражнява правата си по установения ред;
  • Необходимостта Дружеството да осъществява законните си интереси, включително: за осигуряване защитата на активите и информацията на Дружеството; за администрация и общо провеждане на дейността на Дружеството; за предотвратяване или установяване на нарушения на правилата за производствената и трудова безопасност или опазване на околната среда или други политики на Дружеството;
  • Необходимостта Дружеството да отговори на искания на лицата (в случаите когато данните са предоставени по искане на самото лице);
  • Съгласие на лицето. Ако Дружеството се позовава на съгласие на лицето като правно основание за обработване на лични данни, лицето може да оттегли съгласието си във всеки момент;
  • Необходимостта да бъдат защитени жизненоважни интереси на физически лица в извънредни ситуации, при които има реален и непосредствен риск за живота или здраве на лицата, намиращи се на територията на обектите на Дружеството.

Видове данни и източници

В зависимост от това кои са лицата и какви са отношенията им с Дружеството (напр. доставчик, клиент, бизнес партньор, служител - работник и т.н.), както и от начина на взаимодействие с Дружеството (напр. данни събрани чрез предоставянето им на хартиен или електронен носител, данни изпратени по електронна поща, данни събрани по телефона и т.н.), ние може да обработваме различни данни за идентифициране, които субектите на данни ни предоставят или които са събрани от други източници.

Доколкото позволява приложимото законодателство, Дружеството може да получава информация от публично достъпни регистри или други публични бази данни, от упълномощители, партньори или съдружници на лицата, от работодатели на лицата, които изпълняват дейности на територията на Дружеството, от компетентни държавни органи (в рамките на техните правомощия по закон) и други разрешени от закона източници.

По-долу представяме общ преглед на категориите данни, които е възможно да събираме:

  • Данни за идентификация: Три имена, длъжност, личен идентификационен номер (единен граждански номер или личен номер на чужденец), постоянен адрес, е-мейл, телефон,
  • Здравни данни на служители-работници (например, болнични листа, ТЕЛК / НЕЛК решения, здравни книжки)
  • Данни, записани чрез видео или друго електронно, дигитално или безжично устройство или система за наблюдение (например система за видеонаблюдение), които се събират от съображения за сигурност на територията на Дружеството
  • Финансова информация: информация за кредитна или дебитна карта, номер на банкова сметка или друга банкова и платежна информация във връзка с плащания от и към Дружеството;
  • Друга информация: данни за регистрация на личен или служебен автомобил, които се събират от съображения за сигурност в случаите, когато се осигурява достъп на такива автомобили на територията на Дружеството

 

Получатели на лични данни

Дружеството предоставя лични данни само в ограничените случаи, описани тук.

Ако е необходимо за изпълнението на целите описани в тази Политика, е възможно да бъдат разкрити лични данни на следните лица:

  • Доставчици на услуги: с оглед нормалната бизнес дейност на Дружеството, възможно е то да възлага определени дейности по обработка на лични данни на трети лица - доставчици на услуги, които да извършват функции и да предоставят услуги, като например:
  • доставчици на ИТ услуги, които по възлагане поддържат оборудване, софтуер и хардуер, използвани за обработка на лични данни и необходим за изграждане на мрежата на дружеството и за извършване на различни услуги по отчитане, разплащане на услуги и продукти, техническа поддръжка и др.;
  • охранителни фирми, притежаващи лиценз за извършване на частна охранителна дейност във връзка с осигуряване на пропускателния режим на територията на Дружеството и охрана на обектите;
  • доставчици на транспортни услуги;
  • доставчици на услуги по столово хранене на територията на САМИ М;
  • консултанти и доставчици на други видове услуги.

Изброените по-горе лица може да се нуждаят от достъп до лични данни, за да изпълняват функциите си. Дружеството изисква от своите доставчици на услуги да осигурят поверителността и сигурността на личните данни, които обработват по възлагане от Дружеството и да не ги използват за други цели, различни от тези, поради които са ангажирани с това задължение.

  • Публични и държавни органи: когато се изисква по закон или ако е необходимо за да защити своите права и законни интереси, е възможно Дружеството да предостави лични данни на държавни и/или местни органи и юридически лица, които регулират или в чиято юрисдикция влиза дейността на Дружеството.

 

Получатели на ЛД извън територията на Република България

При предоставяне на лични данни на лица, установени в рамките на държава-членка на Европейския съюз, личните данни се ползват с нивото на защита, предоставено от  Регламент (ЕС) 2016/679, както и свързаните с него нормативни актове на Европейския съюз.

При предоставяне на лични данни в държави, намиращи се извън Европейското икономическо пространство, следва да се вземе предвид, че Европейската комисия признава някои от тези държави като осигуряващи адекватно ниво на защита. Това може да бъде проверено на официалната страница на Европейската комисия, както и на сайта на Комисията за защита на личните данни в Република България.

По отношение на предоставяне на данни до други държави, които не са признати от Европейската комисия като осигуряващи адекватно ниво на защита, Дружеството внедрява адекватни мерки за защита на данните, като например организационни и правни мерки (например подписване на одобрени от Европейската комисия стандартни договорни клаузи).

Съхранение на лични данни

Дружеството съхранява лични данни толкова време, колкото е необходимо за постигане на целите, за които са събрани. Следва да се отбележи, че в определени случаи по закон може да се изисква или да се разрешава по-продължително съхранение, в този случай, Дружеството ще съхранява данните съгласно тези нормативно определени срокове.

Използваните от САМИ - М критерии за определяне на сроковете за съхранение включват:

  • За колко време са необходими данните, така че Дружеството да може да реализира целите, за които са събрани и се обработват.
  • Има ли законово задължение или друго законово или подзаконово нормативно основание за съхранение на лични данни. Примерите за такива задължения и основания са: разпоредби за задължително съхраняване на данни, разпоредби установяващи давностни и преклузивни срокове за реализиране на права, нареждания от държавни органи за запазване на данни.
  • Има ли необходимост от съхранение на данните за целите на административни или съдебни производства или за целите на производство по разглеждане на искания на субекта на данните.

 

Обезпечаване сигурността на ЛД

Дружеството е предприело необходимите мерки в съответствие с действащите разпоредби за защита и сигурност на личните, като Дружеството ще изисква от своите доставчици на услуги (обработващи лични данни) да прилагат аналогични или по-строги мерки за защита и сигурност на личните данни. В зависимост от естеството на данните, които следва да бъдат защитени, САМИ - М е внедрил технически и организационни мерки, за да предотврати рискове като унищожаване, загуба, изменение, неразрешено оповестяване или достъп до лични данни. Тези мерки са описани в Политиката за информационна сигурност на САМИ – М.

Отговорности на лицата предоставящи лични данни

Лицата, предоставящи лични данни носят отговорност да осигурят, доколкото им е известно, точни, пълни и актуални данни.

Права на субектите на ЛД

Субектите на лични данни имат следните права относно техните лични данни:

  • Право на достъп;
  • Право на коригиране;
  • Право на преносимост на данните;
  • Право на изтриване (право „да бъдеш забравен“);
  • Право да се иска ограничаване на обработването;
  • Право на възражение срещу обработването на лични данни;
  • Право на субекта на лични данни да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране.

Право на достъп

При поискване, САМИ - М предоставя на субект на лични данни следната информация:

  • потвърждение дали САМИ - М обработва личните данни на лицето или не;
  • копие от личните данни на лицето, които се обработват от САМИ - М, и
  • обяснение относно обработваните данни. Обяснението относно обработваните данни включва информацията, съдържаща се в настоящата Политика, както и допълнителна информация, поискана от субекта на данни.

При искане от лицето, САМИ - М може да предостави копие от личните данни, които са в процес на обработване. При предоставяне на копие от лични данни, САМИ - М не може да разкрива следните категории данни: лични данни на трети лица, освен ако същите не са изразили изричното си съгласие за това; данни, които представляват търговска тайна, интелектуална собственост или конфиденциална информация; друга информация, която е защитена съгласно приложимото законодателство.

Предоставянето на достъп на субекти на лични данни не може да влияе неблагоприятно върху правата и свободите на трети лица или да доведе до нарушаване на нормативно задължение на САМИ - М.

Правото на коригиране

Субекти на данни могат да поискат личните им данни, обработвани от САМИ - М, да бъдат коригирани, в случай че последните са неточни или непълни.  При удовлетворено искане за коригиране на лични данни, САМИ - М уведомява другите получатели, на които са били разкрити данните (например държавни органи, доставчици на услуги), така че те да могат да отразяват измененията.

Право на изтриване (право „да бъдеш забравен“)

При поискване, САМИ - М е задължен да изтрие лични данни, ако е налице някое от следните основания:

  • личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
  • субектът на данните оттегля своето съгласие, върху което се основава обработването на данните, и няма друго правно основание за обработването;
  • субектът на данните възразява срещу обработването и няма законни основания за обработването, които да имат преимущество;
  • личните данни са били обработвани незаконосъобразно;
  • личните данни трябва да бъдат изтрити с цел спазването на правно задължение на САМИ - М;
  • личните данни са били събрани във връзка с предлагането на услуги на информационното общество на деца по смисъла на член 8, параграф 1 от Регламент (ЕС) 2016/679.

САМИ - М не е задължен да изтрие личните данни, доколкото обработването е необходимо:

  • за упражняване на правото на свобода на изразяването и правото на информация;
  • за спазване на правно задължение на САМИ - М;
  • по причини от обществен интерес в областта на общественото здраве в съответствие с член 9, параграф 2, букви з) и и), както и член 9, параграф 3 от Регламент (ЕС) 2016/679;
  • за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1 от Регламент (ЕС) 2016/679, доколкото съществува вероятност правото на изтриване да направи невъзможно или сериозно да затрудни постигането на целите на това обработване; или
  • за установяването, упражняването или защитата на правни претенции.

Право на ограничаване на обработването

Субектът на данните има право да изиска ограничаване на обработването, когато се прилага едно от следното:

  • точността на личните данни се оспорва от субекта на данните, за срок, който позволява на администратора да провери точността на личните данни;
  • обработването е неправомерно, но субектът на данните не желае личните данни да бъдат изтрити, а изисква вместо това ограничаване на използването им;
  • администраторът не се нуждае повече от личните данни за целите на обработването, но субектът на данните ги изисква за установяването, упражняването или защитата на правни претенции;
  • субектът на данните е възразил срещу обработването на основание легитимния интерес на САМИ - М и тече проверка дали законните основания на администратора имат преимущество пред интересите на субекта на данните.

САМИ - М може да обработва лични данни, чието обработване е ограничено, само за следните цели:

  • за съхранение на данните
  • със съгласието на субекта на данните;
  • за установяването, упражняването или защитата на правни претенции;
  • за защита на правата на друго физическо лице; или
  • поради важни основания от обществен интерес.

Когато субект на данните е поискал ограничаване на обработването и е налице някое от основанията по-горе, САМИ - М го информира преди отмяната на ограничаването на обработването.

Правото на преносимост на данните

Лицето има право да получи личните данни, които го засягат и които то е предоставило на САМИ - М, в структуриран, широко използван и пригоден за машинно четене формат.

При поискване, тези данни могат да бъдат прехвърлени на друг администратор, посочен от субекта на лични данни, когато това е технически осъществимо

Субектът на личните данни може да упражни правото на преносимост в следните случаи:

  • обработването е основано на съгласието на субекта на личните данни;
  • обработването е основано на договорно задължение;
  • обработването се извършва по автоматизиран начин.

Правото на преносимост не може да влияе неблагоприятно върху правата и свободите на други лица.

Право на възражение

Субектът на данните има право да възрази срещу обработване на негови лични данни от САМИ - М, ако данните се обработват на едно от следните основания:

  • обработването е необходимо за изпълнението на задача от обществен интерес или при упражняването на официални правомощия, които са предоставени на администратора;
  • обработването е необходимо за цели, свързани с  легитимните интереси на САМИ - М или на трета страна;
  • обработването на данни включва профилиране.

Администраторът прекратява обработването на личните данни, освен ако не докаже, че съществуват убедителни законови основания за неговото продължаване, които имат предимство пред интересите, правата и свободите на субекта на данни, или за установяването, упражняването или защитата на правни претенции.

Право на възражение срещу лични данни за целите на директния маркетинг

По правило, САМИ - М не обработва лични данни за целите на директния маркетинг. Въпреки това, с оглед изчерпателността на информацията, която предоставя с настоящата Политика, Дружеството уведомява за следното:

Когато се обработват лични данни за целите на директния маркетинг, субектът на данни има право по всяко време да направи възражение срещу обработване на лични данни за тази цел, включително по отношение на профилиране, свързано с директния маркетинг. Когато субектът на данни възрази срещу обработване за целите на директния маркетинг, обработването на личните данни за тези цели се прекратява.

Право на човешка намеса при автоматизирано вземане на решения

По правило, САМИ - М не взима решения, основаващо се единствено на автоматизирано обработване, включващо профилиране в своята дейност. Въпреки това, с оглед изчерпателността на информацията, която предоставя с настоящата Политика, Дружеството уведомява за следното:

В случаите, когато администраторът взима автоматизирани индивидуални решения, включващи или изключващи профилиране, които пораждат правни последствия за физически лица или ги засягат в значителна степен по подобен начин, тези лица могат да поискат преразглеждане на решението с човешка намеса, както и да изразят гледната си точка. Администраторът предоставя на физическите лица-обект на автоматизирано вземане на решения съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за лицето.

Ред за упражняване на правата

Субектите на лични данни могат да упражнят правата съгласно тази  Политика като подадат искане на упражняване на съответното право.

Искане за упражняване на правата на субектите на лични данни могат да бъдат подадени по следния начин:

  • По електронен път на следния имейл адрес: k.vanova@sami-m.com
  • По пощата на адреса за кореспонденция с САМИ - М: гр. Перник, ул. Захари Зограф № 143

Искането за упражняване на права на лични данни следва да съдържа следната информация:

  • Идентификация на лицето – име и ЕГН
  • Контакти за обратна връзка – адрес, телефон, електронна поща
  • Искане – описание на искането

САМИ - М предоставя информация относно действията, предприети във връзка с искане за упражняване на правата на субектите, в срок от един месец от получаване на искането.

При необходимост този срок може да бъде удължен с още един месец, като се взема предвид сложността и броя на исканията от определено лице. САМИ - М информира лицето за всяко такова удължаване в срок от един месец от получаване на искането, като посочва и причините за забавянето.

САМИ - М не е задължен да отговори на искане, в случай че не е в състояние да идентифицира субекта на данните.

САМИ - М може да поиска предоставянето на допълнителна информация, необходима за потвърждаване на самоличността на субекта на данните, когато са налице основателни опасения във връзка със самоличността на физическото лице, което подава искане.

Когато искането е подадено с електронни средства, по възможност информацията се предоставя с електронни средства съгласно Закона за електронния документ и електронния подпис.

Когато исканията за достъп са явно неоснователни или прекомерни, особено поради своята повторяемост, САМИ - М може да начисли разумна такса въз основа на административните разходи за предоставяне на информацията или да откаже да отговори на искането за достъп. САМИ - М преценява за всеки отделен случай дали дадено искане е явно неоснователно или прекомерно.

При отказ на искане на субекта на данни за упражняване на неговите права,  САМИ - М аргументира отказа си и информира субекта на данни за правото му да подаде жалба до Комисия за защита.

Съобщаване на субекта на данните за нарушение на сигурността на ЛД

Когато има вероятност нарушението на сигурността на личните данни да породи висок риск за правата и свободите на физическите лица, Дружеството без ненужно забавяне, съобщава на субекта на данните за нарушението на сигурността на личните данни.

Дружеството няма да изпраща такова съобщение, в случаите когато:

  • са приложени подходящи технически и организационни мерки за защита и тези мерки по отношение на личните данни, засегнати от нарушението на сигурността на личните данни.
  • са взети впоследствие мерки, които гарантират, че вече няма вероятност да се материализира високият риск за правата и свободите на субектите на данни;
  • то би довело до непропорционални усилия. В такъв случай се прави публично съобщение или се взема друга подобна мярка, така че субектите на данни да бъдат в еднаква степен ефективно информирани.

Водене на регистри

В качеството си на администратор, САМИ-М води регистри за дейностите по обработване, които са обособени според целите и основанието на обработване, субектите на данни и други специфики за конкретна дейност.

Регистрите съдържат следната информация:

  • името и координатите за връзка на администратора и — когато това е приложимо — на всички съвместни администратори, на представителя на администратора и на длъжностното лице по защита на данните, ако има такива;
  • целите на обработването;
  • описание на категориите субекти на данни и на категориите лични данни;
  • категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации;
  • когато е приложимо, предаването на лични данни на трета държава или международна организация, включително идентификацията на тази трета държава или международна организация, а в случай на предаване на данни, посочено в член 49, параграф 1, втора алинея от ОРЗД, документация за подходящите гаранции;
  • когато е възможно, предвидените срокове за изтриване на различните категории данни;
  • общо описание на техническите и организационни мерки за сигурност

Регистрите се водят от ръководителите на отделите, които осъществяват съответните дейности и се одобряват от Управителя на САМИ-М.

Правила за поверителност при управлението на човешките ресурси

  1. Селекция на персонал

Уведомление за поверителност

1.1. При осъществяване на селекция на персонал на кандидатите се предоставя уведомление за поверителност съгласно Приложение № 1 от настоящите Правила.

1.2. Уведомлението се предоставя преди подаването на кандидатурата. Като изключение, при невъзможност уведомлението да бъде предоставено преди получаване на кандидатурата, уведомлението може да бъде предоставено непосредствено след получаване на кандидатурата на лицето.

1.3. Уведомлението се предоставя по подходящ и достъпен начин с оглед на начина на получаване на кандидатурите. При обява за работа, публикувана на уебстраницата на САМИ - М или в уебсайт за търсене на работа, уведомлението може да бъде приложено към обявата.

Лични данни, обработвани за целите на селекция на персонал, и основания за обработка

Личните данни, които обикновено се обработват при селекция на кандидати за работа, са следните:

  • Име: Име и фамилия
  • Контакти:  Електрона поща, адрес и телефон
  • Образование: Образователна и/или квалификационна степен
  • Професионален опит: Придобит професионален опит, трудов стаж и умения
  • Други данни, предоставени от кандидата чрез изпращане на кандидатурата

 

Предоставените лични данни ще бъдат използвани за следните цели:

  • извършване на подбор на кадри
  • бъдещо сключване на трудов договор, в случай на успешна кандидатура.

 

Данните, предоставени с кандидатура за определена позиция, се обработват само за селекцията за конкретната позиция въз основа на дадено съгласие, демонстрирано чрез подаване на кандидатура.

При наличието на изрично съгласие от страна на кандидата, кандидатурата и приложените документи могат да бъдат запазени и разгледани за бъдещи позиции, обявени от САМИ - М.

Съгласието за обработване данните на кандидатите при последващи селекции на кадри се удостоверява чрез подписана форма за съгласие съгласно Приложение № 2 от настоящите Правила.

  1. Трудови договори

Уведомление за поверителност

    1. При сключване трудов договор на служителите-работниците се предоставя уведомление за поверителност съгласно Приложение № 3 от настоящите Правила.

Лични данни, обработвани за целите на трудовото правоотношение, и основания за обработка

Личните данни на служителите-работниците, които могат да се обработват за целите на трудовото правоотношение, са следните:

  • Име: Име, презиме и фамилия
  • Контакти:  Електрона поща, адрес и телефон
  • Образование: Образователна и/или квалификационна степен
  • Професионален опит: Придобит професионален опит, трудов стаж и умения
  • Банкова информация: номер на банкова сметка
  • Информация, свързана с оценка на изпълнението на работата: атестации, оценки за изпълнение на задълженията, преминати обучения
  • Други данни, необходими за изпълнение на задълженията по трудово или гражданско правоотношение
  • Здравни данни: информация от болнични листове, ТЕЛК и НЕЛК решения, информация, предоставена от службата по трудова медицина, данни за здравословно състояния при трудови злополуки, алкохолни проби, здравни книжки, за декларацията за болни членове на семейството, за да се изпълнят регулаторните изисквания за безопасност на храните, други.

 

САМИ - М може да обработва здравни данни на свои служители-работници (болнични листове, ТЕЛК и НЕЛК решения, здравни книжки, други) за изпълнението на своите права и задължения като работодател съгласно българското трудовото и социално-осигурително законодателство, или за установяване и упражняване на правни претенции. Болничните листове и други документи, съдържащи здравни или други чувствително данни се предават пряко от служителя-раоботника на друг служител-работник от Дирекция Човешки ресурси с оглед тяхното обработване за целите на трудовото и социално-осигурителното законодателство. Ако по обективни причини е невъзможно документи, съдържащи чувствителни лични данни на служителя-работника, да бъдат предадени по реда на предходното изречение, такива документи се предават на прекия ръководител задължително в запечатан непрозрачен плик и прекият ръководител предава запечатания плик на съответния служител от Дирекция Човешки ресурси за обработка. Отчитането на предадените пликове може да става с приемо-предавателен протокол (в който се забранява отразяване на чувствителни данни за конкретен служител).

При обработка на чувствителни данни на служители-работници, за цели различни от целите, посочени в тези Правила, компетентните служители-работници следва да се допитат до Дирекция Правна/Съответствие и Длъжностното лице за защита на личните данни на САМИ - М.  Обработка на такива данни е възможна само след получаване на изрично писмено съгласие на служителя-работника или при наличие на някое от основанията на чл. 9 от Регламент (ЕС) 2016/679.

САМИ - М поддържа вътрешна платформа с информация на служителите-работниците за целите на управление на човешките ресурси и подобряване комуникацията между отделните звена в Дружеството. Служителите-работницните предоставят своя снимка, която да бъде приложена и да се вижда в платформата, с оглед идентификация за целите на осигуряване на сигурност и безопасни условия за работа на обектите на САМИ-М и намиращите се на тяхна територия лица.

При обработка на лични данни на служители-работници за допълнителни цели (например предоставяне на допълнителни облаги, при което лични данни на служители-работници се разкриват на трети лица; предоставяне на лични данни на служители-работницни на други дружества в Групата на САМИ - М), компетентните служители-работници определят дали са изпълнени изискванията на законодателството за защита на личните данни, включително но не само:

i)          Дали служителите-работницните са уведомени за целите на обработката на данни и получателите на данни (включително категориите получатели на данни), както и за другата информация съгласно чл. 13 от Регламент (ЕС) 2016/679.

ii)         Дали е налице основание за обработка на данни съгласно чл. 6 от Регламент (ЕС) 2016/679.

iii)         При трансфер на данни извън Европейския съюз – дали са спазени законовите изисквания за това.

iv)        Дали са спазени други приложими изисквания.

Контрол за спазване на работното време чрез система за достъп или по друго начини може да се осъществява, след като служителите-работницните са изрично уведомени за целите, за които се обработват личните им данни.

Документи, събирани при сключване на трудов договор

При назначаване на служители-работници по трудово правоотношение се събират следните документи при спазване на приложимото законодателство, а именно:

i)          Лична карта или друг документ за самоличност (международен паспорт, документ за управление на моторно превозно средство) за идентификация на лицето. Документът се използва само за идентификация на лицето и се връща веднага, без да се прави копие.

ii)         Документи за придобито образование, специалност, квалификация, правоспособност, научно звание или научна степен, когато такива се изискват за длъжността или работа, за която лице кандидатства.

iii)         Документи за стаж по специалността, когато за длъжността или работата се изисква притежаването на такъв стаж.

iv)        Документ за медицински преглед се изисква при първоначално постъпване на работа и след преустановяване на трудовата дейност по трудово правоотношение за срок над 3 месеца.

v)         Свидетелство за съдимост се изисква за позициите, изброени в Приложение 4 към тези Правила.

vi)        Документ за банкова сметка.

vii)       Други документи, които се изискват съгласно приложимото законодателство или с оглед спецификите на конкретната длъжност.

3. Граждански договор

3.1. Граждански договор по смисъла на тези Правила е договор за предоставяне на услуги, по който страна е физическо лице.

Уведомление за поверителност

При сключването на граждански договор с лицето се предоставя уведомление за поверителност съгласно Приложение № 3 от настоящите Правила.

Лични данни, обработвани за целите на гражданско правоотношение, и основания за обработка

Личните данни, които се обработват при селекция на кандидати, са следните:

  • Име: Име, презиме и фамилия
  • Контакти:  Електрона поща, адрес и телефон
  • Образование: Образователна и/или квалификационна степен
  • Професионален опит: Придобит професионален опит, трудов стаж и умения
  • Други данни, необходими с оглед сключване и изпълнение на задълженията по гражданското правоотношение.

Предоставените лични данни ще бъдат използвани за целите на гражданското правоотношение.

Документи, събирани при сключване на граждански договор

При сключване на граждански договор, САМИ - М може да събира следните документи:

1.         Лична карта или друг документ за самоличност (международен паспорт, документ за управление на моторно превозно средство) за идентификация на лицето. Документът се използва само за проверка личността на лицето и се връща веднага, без да се прави копие.

2.         Документи за придобито образование, специалност, квалификация, правоспособност, научно звание или научна степен, когато такива се изискват с оглед предмета на договора.

3.         Документ за банкова сметка.

4.         Други документи, които се изискват съгласно приложимото законодателство или с оглед спецификите на предмета на договора.

Права на служителите-работниците и лицата по гражданско правоотношение по отношение на личните данни

Кандидатите за работа, служителите-работниците и лицата, които предоставят услуги по граждански договор, имат правата на субект на лични данни по смисъла и реда на Правилата за упражняване на субектите на лични данни на САМИ - М.

Съгласие за ползване на допълнителни социални придобивки

При наличието на изрично съгласие от страна на служител-работник или лице на гражданско правоотношение същият може да се ползва от допълнителните социални придобивки,  осигурявани от САМИ - М.

Съгласието за трансфер на данните на служителите-работниците и лицата на гражданско правоотношение за ползване на допълнителни социални придобивки се удостоверява чрез подписана форма за съгласие съгласно Приложение № 4 от настоящите Правила.

Актуализации на политиката

Настоящата Политика може да бъде променяна периодично.

Тази Политика за защита на личните данни е актуализирана за последен път на 10.09.2018г.