ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ
„Априори Академи Груп” ЕООД с ЕИК 205486088, със седалище и адрес на управление : гр.София, ул. „Витоша” № 40, адрес на електронна поща : info@apriori-academy.com, телефон 0884 706 888, представлявано от управителя Милко Пенчев Матеев, наричано по-нататък за краткост Групата, приеха настоящата Политика за защита на личните данни, наричана по-нататък за краткост Политиката, в съответствие с Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016, наричан по-нататък за краткост Регламента, и Законът за Защита на Личните Данни.
С настоящата Политика, ние от „Априори Академи Груп” ЕООД целим да утвърдим правила относно това какви лични данни обработваме и за какви цели, на кого ги предоставяме, както и да разясним на физическите лица какви са правата им относно обработваните лични данни.
КАТЕГОРИИ ЛИЦА, ЧИИТО ЛИЧНИ ДАННИ СЕ ОБРАБОТВАТ
- Във връзка с осъществяване на основната си дейност на организатор на събития и дейности : уебинари, конгреси, обучения и др. , както и във връзка с нуждите за управлението на собствения си уебсайт и предоставянето на информационни ресурси в него, Групата, в качеството си на Администратор, обработва лични данни относно следните категории физически лица:
- Клиенти (Обучаващи се) – потребители в уебсайта на Дружеството;
- Служители на Групата;
- Автори (Лектори) на обучителни материали;
- Клиенти и други лица, отправящи запитвания, искания, бизнес предложения, сигнали, жалби към Групата или осъществяващи друга кореспонденция с Групата, независимо от използвания канал за комуникация;
- Трети лица, информация за които се съдържа в запитвания, искания, бизнес предложения, сигнали, жалби или друга кореспонденция, отправена към Групата, независимо от използвания канал за комуникация;
- Лица, които са се абонирали за получаване на определени комуникации, изпратени от нас, в това число маркетингови съобщения, информационни бюлетини (newsletters) и др., както и посетители на корпоративните социални мрежи и ползватели на информационните ресурси, достъпни в тях.
ОСНОВАНИЯ, ЦЕЛИ И СРОКОВЕ ЗА ОБРАБОТКА
Групата събира, съхранява и обработва личните данни, описани в раздел 3 по-долу, на някое от следните основания:
Изпълнение на законови задължения;
Изпълнение на договорни задължения;
Съгласие на физическото лице;
Защита на легитимните интереси;
Групата събира, съхранява и обработва личните данни, описани в раздел 3 по-долу, за следните цели:
За целите на предоставяне на цялостна обучителна програма, както и отделни курсове на клиенти (обучаващи се) – потребители в уебсайта на Групата:
– на законово основание – законът ясно и изчерпателно изброява необходимите документи, съдържащи лични данни, които Групата, в качеството си на лицензиран център за Професионално Обучение към НАПОО, следва да събере от физическите лица при кандидатстването му по обучителна програма на Групата. На това основание личните данни се обработват и за извършване на дейности по изпълнение на законови задължения, свързани с предоставяне на информация към компетентни държавни и съдебни органи и с оказване на съдействие при проверки от компетентни органи.
– на договорно основание – на това основание се обработват лични данни, които представляват задължителни реквизити при сключване на договор, както и лични данни, необходими за същинското му изпълнение, в това число лични данни за целите на извършване на последваща комуникация до клиенти физически лица на Групата.
– на основание защита на легитимните интереси на Групата – извършване на дейности по администриране и обслужване на кореспонденция, съдържаща жалби, сигнали и други, както и упражняване и защита на законните права и интереси на Групата, в т. ч. установяване, упражняване или защита на правни претенции включително и по съдебен ред.
За целите на сключване, изпълнение и прекратяване на трудови и граждански договори и изчисляване на работните заплати и обезщетения на служителите:
– на законово основание – законът ясно и изчерпателно изброява необходимите документи, съдържащи лични данни, които Групата, в качеството му на работодател, следва да събере от физическите лица при встъпване в трудово/гражданско правоотношение с Групата. На това основание личните данни се обработват и за извършване на дейности по изпълнение на законови задължения, свързани с предоставяне на информация към компетентни държавни и съдебни органи и с оказване на съдействие при проверки от компетентни органи.
– на договорно основание – на това основание се обработват лични данни, които представляват задължителни реквизити при сключване на договор, както и лични данни, необходими за същинското му изпълнение.
– на основание защита на легитимните интереси на Групата – след изтичане на законовото и договорното основание за обработка на лични данни, Групата има право да обработва лични данни на физическото лице за целите на упражняване и защита на законните си права и интереси, в т. ч. установяване, упражняване или защита на правни претенции, включително и по съдебен ред (например чрез подаване на и защита срещу подадени жалби, сигнали и други подобни към компетентните държавни и съдебни органи);
За целите на сключване, изпълнение и прекратяване на договори за използване на авторски произведения с автори (лектори) и изчисляване на дължими възнаграждения:
– на договорно основание – на това основание се обработват лични данни, които представляват задължителни реквизити при сключване на договор, както и лични данни, необходими за същинското му изпълнение.
– на основание защита на легитимните интереси на Групата – след изтичане на договорното основание за обработка на лични данни, Групата има право да обработва лични данни на физическото лице за целите на упражняване и защита на законните си права и интереси, в т. ч. установяване, упражняване или защита на правни претенции, включително и по съдебен ред (например чрез подаване на и защита срещу подадени жалби, сигнали и други подобни към компетентните държавни и съдебни органи);
За целите на осъществяване на входяща и изходяща кореспонденция от и към физически лица във връзка с запитвания, искания, бизнес предложения, сигнали, жалби или друго:
– на основание защита на легитимните интереси на Групата – извършване на дейности по администриране и обслужване на кореспонденция, както и упражняване и защита на законните права и интереси на Групата, в т. ч. установяване, упражняване или защита на правни претенции включително и по съдебен ред (например чрез подаване на и защита срещу подадени жалби, сигнали и други към компетентните държавни и съдебни органи);
За целите на извършване на директен маркетинг към клиенти:
– на основание съгласието на физическото лице спрямо него да се извършват дейности, представляващи директен маркетинг;
– на основание защита на легитимните интереси на Групата да популяризира извършваната от него дейност.
Групата събира, съхранява и обработва личните данни, описани в раздел 3 по-долу, за целите и основанията, описани в настоящия раздел, за следните срокове:
За сключване, изпълнение и прекратяване на трудови и граждански договори и изчисляване на работните заплати и обезщетения на служителите:
– Трудови договори, Анекси към тях и длъжностни характеристики – до изтичане на 50 (петдесет) години от последното използване на лични данни от тях за изготвяне на Ведомост за възнаграждения;
– Ведомости за възнаграждения – до изтичане на 50 (петдесет) години от тяхното изготвяне;
– Всяка друга информация във връзка със сключените трудови и граждански договори – 3 (три) години от момента на прекратяване на сключения договор.
За сключване и изпълнение на договори с клиенти:
– Лични данни относно клиентите (обучаващите се) – потребители в уебсайта на Групата – до изтичане на 5 (пет) години от прекратяване на сключения договор, ако клиентът не се е възползвал повече от услугите на Групата и не е комуникирал с нея;
За сключване и изпълнение на договори за използване на авторски произведения с автори (лектори):
– Лични данни относно клиентите на Групата – до изтичане на 5 (пет) години от прекратяване на сключения договор, ако авторът (лекторът) повече не е сключвал договори с Групата и не е комуникирал с нея;
За защита на легитимните интереси на Групата – личните данни се съхраняват за времето, през което за Групата е наличен легитимният интерес и се унищожават веднага след неговото отпадане.
За целите на извършване на директен маркетинг към клиенти
– До изтичане на срока, за който физическото лице е дало своето съгласие;
– Когато обработката се извършва на основание легитимния интерес на Групата – до изтичане на 5 (пет) години от извършване на дадената маркетингова активност, в случай че не е последвала комуникация с физическото лице във връзка с проведената активност или физическото лице не е възразило срещу изпращаната маркетингова комуникация.
ВИДОВЕ ЛИЧНИ ДАННИ, КОИТО СЕ ОБРАБОТВАТ
Лични данни, необходими при предоставяне на обучителна програма или отделен обучителен курс:
Лични данни, предоставяни при кандидатстване за обучителна програма:
– име и фамилия;
– контактни данни (телефон, имейл);
– позиция (ученик, студент, маркетинг специалист, собственик, собственик на бизнес или друго);
– всички лични данни, съдържащи се в дипломата за средно или висше образование;
– всички лични данни и по-конкретно – данни за медицинско състояние, съдържащи се в медицински документ, доказващ, че професията, по която желае да се обучава, не му е противопоказна по смисъла на чл. 14, ал. 3 от Закона за професионалното образование и обучение;
– всяка друга информация, представляваща лични данни и необходима за сключване на договор и/или изпълнение на услуга или събрана във връзка с изпълнение на договор или услуга;
Лични данни, предоставяни при кандидатстване за обучителен курс:
– име и фамилия;
– контактни данни (телефон, имейл);
Личните данни, необходими при кандидатстване за работа в дружествата, част от Групата и необходими за сключване на трудов и граждански договор, са следните:
Лични данни, предоставяни при кандидатстване:
– имена;
– адрес;
– адрес на електронна поща (имейл адрес);
– телефон;
– всяка друга информация, представляваща лични данни, която физическото лице би желало да ни предостави във връзка със своята кандидатура;
– лични данни, съдържащи се в приложени към кандидатурата документи (напр. дипломи, сертификати, трудова книжка и др.);
– информация, свързана с обработването на кандидатурата и резултата от нея.
Лични данни, предоставяни при сключване на трудов или граждански договор, както и през време на трудовото правоотношение:
– имена по лична карта;
– ЕГН/ЛНЧ/дата на раждане;
– постоянен адрес;
– информация за трудов стаж;
– диагнози по болнични листове;
– решения на ТЕЛК – чувствителни лични данни за здравословно състояние;
– банкова сметка;
– снимка;
– снимки и видеоклипове за целите на осъществяване на маркетинговата стратегия на Групата, само след изрично, писмено съгласие на служителя;
– всяка друга информация, представляваща лични данни, необходима за сключване и изпълнение на договора между страните.
Лични данни, необходими при сключване и изпълнение на договори за използване на авторски произведения с автори (лектори):
– три имена;
– ЕГН;
– контактни данни (телефон, имейл);
– данни за банкова сметка.
Лични данни, събрани във връзка с отправени запитвания, искания, бизнес предложения, сигнали, жалби или друга кореспонденция с Групата, независимо от канала на комуникация, през който се осъществява:
– Имена на лицето така, както са посочени от него в конкретната комуникация с Групата;
– Телефонен номер, в случай че такъв е предоставен от физическото лице;
– E-mail адрес, в случай че такъв е предоставен от физическото лице;
– Адрес, в случай че такъв е предоставен от физическото лице
– Лични данни, отнасящи се за трети лица, съдържащи се в първоначалната и последващата кореспонденцията с Групата;
– всяка друга информация, представляваща лични данни и съдържаща се в първоначалната и последващата кореспонденция с Групата или събрана или създадена във връзка с обработването, статуса и крайния резултат на съответната кореспонденция;
Лични данни, предоставени при извършване на директен маркетинг към физически лица, посещение на Уебсайта на Групата, корпоративните социални мрежи и при абонаменти за получаване на определени комуникации, в това число маркетингови съобщения, информационни бюлетини (newsletters) и др.
Лични данни, предоставяни при извършване на директен маркетинг спрямо физическото лице
– име на физическото лице;
– всяка друга информация, включена в конкретната декларация за съгласие, която се предоставя на физическите лица за конкретната маркетингова активност.
Лични данни, предоставени при посещение на уебсайта – освен ако изрично не е посочено друго, достъпът до Уебсайта е свободен и не е необходима регистрация, за да се използват наличните там информационни ресурси. Въпреки това, при използване на сайта, се събира информация, която може да спомогне за идентификация на конкретното физическо лице, както следва:
– дата и час на достъпване на Уебсайта;
– IP адрес, от който е осъществена връзката;
– сървърни и системни логове (за установяване на технически проблеми и/или идентифициране на злонамерени действия);
– когато е приложимо, логове за извършване на правни изявления (като например, потвърждаване на запознаването с Политиката за поверителност, абонамент за бюлетин и др.).
Лични данни, предоставени при посещение на корпоративни профили в социалните мрежи – с цел популяризиране на дейността на Групата и предоставяните от нея услуги, тя може да поддържа корпоративни профили в различни социални мрежи. Когато физическо лице взаимодейства с тези профили, Групата може да достъпи лични данни за лицето в съответствие с настройките за поверителност на използвания от него профил. Такива лични данни са:
– име;
– потребителско име;
– лични данни от профила на физическото лице в съответната социална мрежа (напр. снимка, пол, възраст или възрастов диапазон, език, държава, списък с приятели, списък на харесани/следвани страници и др.);
– всяка друга информация, представляваща лични данни, до която физическо лице е дало достъп на Групата и която използваната от него социална мрежа предоставя на Групата;
Лични данни, предоставени при абониране за получаване на определени комуникации, в това число маркетингови съобщения, информационни бюлетини (newsletters) и др. Такива лични данни биха могли да бъдат:
– имена;
– електронна поща;
– други лични данни, свързани със занятие, професия или интереси, които ще бъдат винаги ясно обозначени в съответната форма за абонамент.
ОПРЕДЕЛЯНЕ НА НИВО НА ВЪЗДЕЙСТВИЕ И МЕРКИ ЗА ЗАЩИТА
Съобразно целите, контекста, обхвата, естеството и количеството на обработваните лични данни Групата, чрез своите законни представители, изготвя оценка за нивата на въздействие по отношение на рисковете с различна вероятност и тежест за правата и свободите на физически лица, в случай на нарушаване на сигурността на обработваните техни лични данни.
С оглед видовете обработвани от Групата лични данни, надлежно описани в раздел 2 от настоящата политика, Групата определя СРЕДНО НИВО НА ВЪЗДЕЙСТВИЕ, поради извършваната немащабна обработка на специални категории лични данни. Съобразно така определеното ниво на въздействие се определят надлежните мерки за защита на личните данни.
Физическа защита. Обработката на лични данни се извършва:
от служители на Групата, които са обучени относно политиките и правилата за защита на личните данни и им е предоставено ниво на достъп до личните данни съобразно възложените им задължения;
в помещения, до които достъпът е контролиран и се ограничава до служителите на Групата;
хартиени досиета, регистри и справки се съхраняват в шкафове, които се заключват и ключове за тях имат служителите на Групата и те единствени имат право да правят и предоставят копия от документите на трети страни, регламентирани получатели на лични данни по закон. Всички хартиени документи са дигитализирани и архивирани.
упоменатите по-горе помещения за обработка и съхранение на физически документи са оборудвани с пожарогасители, в случай на пожар.
Дигитална защита. Обработката на личните данни се извършва:
на персонален компютър за всеки служител, извършващ обработка на лични данни, който е с инсталирана операционна система и с персонална парола за достъп, която трябва да бъде въведена при всяко пускане на компютъра и след негов покой;
персоналните компютри са защитени с антивирусен софтуер;
базите данни от обработката на лични данни се намират на сървър, който:
– физически се намира на изнесен адрес;
– физически достъп до него има IT отдела, както и лицето, което поддържа технически сървъра;
– дигитален достъп с парола до него имат служителите, които достъпват само релевантната към длъжността си информация, както и IT отдела, чийто служители имат пълен достъп;
– се управлява от операционна система и е защитен със защитна стена;
правят се резервни и архивни копия на базите данни от обработката, които се съхраняват на сървър, който:
– физически се намира на изнесен адрес;
– физически достъп до него има IT отдела, както и лицето, което поддържа технически сървъра;
– дигитален достъп с парола до него имат служителите, които достъпват само релевантната към длъжността си информация, както и IT отдела, чийто служители имат пълен достъп;
– се управлява от операционна система и е защитен със защитна стена;
Когато сигурността на личните данни е нарушена и съществува риск или висок риск за правата и свободите на засегнатите физически лица, Групата уведомява Комисията за защита на личните данни (КЗЛД), а в определени случаи и засегнатите лица.
Нарушение на сигурността на личните данни е налице тогава, когато нарушението води до случайно или неправомерно унищожаване, загуба, промяна, неразрешено разкриване или достъп до лични данни, които се предават, съхраняват или обработват по друг начин.
Когато служител на Групата установи или получи информация (сигнал) от физическо лице за настъпило нарушение на сигурността, служителят следва да уведоми Управителя за нарушението без ненужно забавяне;
Когато Групата е възложила на подизпълнител обработване на лични данни, на последният е вменено задължението да уведоми Групата за нарушението без ненужно забавяне, но не по-късно от 24 часа от установяване на нарушението на сигурността;
Групата реагира на всеки първоначален сигнал и установява дали в действителност има наличие на нарушение. При постъпване на сигнал се прави анализ и проследяване на събитията с цел събиране на доказателства и оценка на риска, както и с цел преценката дали е необходимо да бъде уведомена КЗЛД и физическото лице.
Когато се установи нарушение на сигурността, Групата без ненужно забавяне прави оценка дали е настъпил риск за правата и свободите на физическите лица и дали рискът е висок.
Риск съществува тогава, когато нарушението може да доведе до имуществени и/или неимуществени вреди за лицата, чиято сигурност на личните данни е била нарушена, като се вземе предвид видът на обработваните категории лични данни и броят на засегнатите лица.
При оценката на риска Групата следва да се съобрази с нивото на въздействие, определено в чл. 4.2. от настоящия раздел.
Групата извършва уведомяване до КЗЛД, когато след оценка на риска бъде установено, че съществува вероятност нарушението на сигурността да доведе до риск или висок риск за правата и свободите на физическите лица.
Уведомяването на КЗЛД се извършва от Управителя в рамките на 72 (седемдесет и два) часа от момента, в който на Групата е станало известно за случая на нарушение на сигурността.
Когато Групата подава уведомление за нарушение към КЗЛД, то трябва да съдържа следната информация:
– описание на характера на нарушението на личните данни, включително, където е възможно, категориите и приблизителния брой засегнати физически лица, както и категориите и приблизителния брой засегнати регистри на лични данни;
– името и данните за контакт на лицето за контакт с КЗЛД, което може да предостави допълнителна информация;
– описание на вероятните последствия от нарушението на сигурността на личните данни;
– описание на предприетите или предложени от Дружеството мерки за справяне с нарушението на сигурността на личните данни, включително, където е удачно, мерки за смекчаване на възможните неблагоприятни последици.
Когато Групата не може да събере цялата нужна информация в срок до 72 часа от момента на узнаването, то уведомяването на КЗЛД започва в срок до 72 часа, като предоставянето на информация се извършва поетапно и след изтичане на този срок. В този случай, Групата информира КЗЛД за причините информацията да не бъде предоставена в цялост в рамките на този срок.
Когато уведомлението до КЗЛД не е започнало в срок от 72 (седемдесет и два) часа, към него следва да бъдат приложени обяснения относно причините за забавянето.
Когато нарушението на личните данни може да доведе до висок риск за правата и свободите на физическите лица, Групата незабавно съобщава за нарушението на личните данни на тези лица.
Уведомлението до физическите лица описва по ясен и точен начин съответното нарушение на сигурността, като съдържа минимум следната информация:
– описание на естеството на нарушението;
– името и данните за контакт на Управителя на едно от дружествата или друго лице за контакт, от което може да се получи повече информация;
– описание на вероятните последици от нарушението;
– описание на мерките, предприети или предложени да бъдат предприети от Групата за преодоляване на нарушението, включително, когато е целесъобразно, мерки за смекчаване на възможните неблагоприятни последици.
Групата поддържа Регистър за нарушенията сигурността на лични данни, в който документира всяко нарушение на сигурността, независимо от възникналия риск. В регистъра се вписва най-малко следната информация:
– датата, на която е установено нарушението;
– описание на нарушението;
– броят на засегнатите лица;
– протокол за констатация и оценка на последствията, дата;
– решение за превенция от бъдещи грешки, дата;
– уведомена ли е КЗЛД, дата на Уведомление;
– уведомени ли са физическите лица, дата на Уведомление;
ПОЛУЧАТЕЛИ НА ЛИЧНИ ДАННИ
За целите на сключване и изпълнение на договори с клиенти (обучаващи се) – потребители на Уебсайта, Групата може да предава лични данни на следните получатели:
Национална Агенция за Приходите – във връзка с проверки и ревизии;
Други държавни и общински органи и/или институции, както и частни съдебни изпълнители, банки и други подобни – във връзка със законови задължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни;
Подизпълнители за изпълнение на договорни задължения, в това число куриерски услуги, осъществяване на IT поддръжка и други, описани в настоящия раздел.
За целите на сключване, изпълнение и прекратяване на трудови и граждански договори и изчисляване на работните заплати и обезщетения на служители, Групата може да предава лични данни на следните получатели:
Национална Агенция за Приходите – във връзка със сключени договори; дължими данъци върху доходите, социални и здравни осигуровки; дължими обезщетения; проверки и ревизии;
Национален Осигурителен Институт – във връзка със социални и здравни осигуровки; дължими обезщетения; проверки и ревизии;
Служба за Трудова Медицина – във връзка с изпълнение на законови задължения на Дружеството по ЗЗБУТ;
Застрахователи – във връзка със здравни, рентни, професионални и/или други застраховки;
Главна Инспекция по Труда, НОИ и МВР – във връзка с трудови злополуки;
Други държавни и общински органи и/или институции – във връзка със законови задължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни;
Подизпълнители за изпълнение на договорни задължения за осъществяване на IT поддръжка и други, описани в настоящия раздел.
За целите на сключване, изпълнение и прекратяване на договори за използване на авторски произведения с автори (лектори) и изчисляване на дължими възнаграждения, Групата може да предава лични данни на следните получатели:
Национална Агенция за Приходите – във връзка с проверки и ревизии;
Всякакви държавни и общински органи и/или институции – във връзка със законови задължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни;
Подизпълнители за изпълнение на договорни задължения, в това число куриерски услуги, осъществяване на IT поддръжка и други, описани в настоящия раздел.
За целите на защита на легитимните интереси на Групата, тя може да предава лични данни на следните получатели:
Национална Агенция за Приходите – във връзка със сключени трудови договори; дължими данъци върху доходите, социални и здравни осигуровки; дължими обезщетения; проверки и ревизии;
Национален Осигурителен Институт – във връзка със социални и здравни осигуровки; дължими обезщетения; проверки и ревизии;
Национална Агенция за Професионално Образование и Обучение;
Министерство на образованието и науката;
Служба за Трудова Медицина, в случаите когато е налице договор с Дружеството – във връзка с изпълнение на законови задължения на Дружеството по ЗЗБУТ;
Застрахователи, в случаите когато е налице договор с Дружеството или негови служители – във връзка със здравни, рентни или други застраховки;
Главна Инспекция по Труда, НОИ и МВР – във връзка с трудови злополуки;
Всякакви държавни и общински органи и/или институции – във връзка със законови задължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни;
Подизпълнители за изпълнение на договорни задължения, в това число куриерски услуги, осъществяване на IT поддръжка и други, описани в настоящия раздел.
За целите на провеждане на директен маркетинг към клиенти, Групата може да предава лични данни на следните получатели:
Всякакви държавни и общински органи и/или институции – във връзка със законови задължения към тях или във връзка със законови искания от тях за информация, която съдържа лични данни;
Подизпълнители – маркетингови агенции, за изпълнение маркетинг стратегията на Групата.
Групата има право да използва подизпълнители за извършване на част или цялата обработка на лични данни.
Подизпълнители, обработващи лични данни, се използват при:
– обработка данните за клиенти на Групата от лицензирани куриерски компании;
– изпълнение на маркетинговата стратегия на Групата, както и осъществяване на отделни и конкретни маркетингови активности;
– хостване и поддръжка на базите данни, в които има лични данни, обработвани от Групата в ролята му на администратор.
Когато за целите на обработка на лични данни на физически лица се използва подизпълнител, същият получава минимум нужните му лични данни на физически лица, съгласно сключен между него и някое от дружествата в Групата договор.
Подизпълнителят извършва обработката на лични данни, възложена му от Групата изцяло съгласно условията в сключения между страните договор.
Подизпълнителят прилага всички необходими мерки за защита на личните данни, според тяхното естество.
Групата извършва трансфер на лични данни извън рамките на Европейския съюз само когато това е необходимо за изпълнение на някоя от целите, подробно описани в настоящата Политика и при наличие на:
Решение на надзорен орган на държавно или европейско ниво, с което се потвърждава, че дадената трета държава, територия или един или повече конкретни сектори в тази трета държава, или въпросната международна организация осигуряват адекватно ниво на защита.
или
2.Подходящи гаранции за защита на личните данни, като:
– обвързващи корпоративни правила, одобрени от съответния надзорен орган; или
– стандартни клаузи за защита на данните, приети от Комисията или приети от националния надзорен орган и одобрени от Комисията; или
– одобрен кодекс за поведение или одобрен механизъм за сертифициране, като и в двата случая трябва да са предвидени правно обвързващи и принудително изпълними задължения на администратора или обработващия в третата страна относно прилагането на подходящи мерки за защита, включително по отношение на правата на човека.
ИСКАНИЯ ОТ ФИЗИЧЕСКИ ЛИЦА
При постъпило искане от физическо лице, чиито лични данни се обработват, получилият искането служител и всяко лице, действащо от името на Групата следва незабавно да предостави на физическото лице утвърдената в Групата Форма за искане от физическо лице. Постъпилото искане се вписва в Регистър на постъпили искания и направени уведомления, като на искането се дава пореден входящ номер. Групата предоставя информация и отговаря на исканията на физическите лица, без излишно забавяне, но не по-късно от един месец от датата на получаване на искането.
За да се прецени основателността на искането, се определя неговия вид, както и дали е подадено от оправомощено лице. Групата може да откаже да удовлетвори искането на физическо лице, когато не е в състояние да го идентифицира. При постъпило искане от физическото лице за изтриване, ограничаване или при възражение по отношение на обработваните лични данни, Групата съобразява искането с основанието, на което личните данни на физическото лице се обработват. Групата има право да откаже подобно искане в следните хипотези:
Доколкото обработването на личните данни на физическото лице е необходимо за спазване на правното задължение, предвидено в приложим за Групата нормативен акт;
Доколкото обработването на личните данни на физическото лице е необходимо за установяването, упражняването или защитата на правни претенции на Групата.
Доколкото обработването на личните данни на физическото лице е необходимо за упражняване на правото на свобода на изразяването и правото на информация.
По причини от обществен интерес в областта на общественото здраве.
Доколкото обработването на личните данни на физическото лице е необходимо за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, доколкото съществува вероятност исканото право да направи невъзможно или сериозно да затрудни постигането на целите на това обработване;
При постъпило основателно искане за получаване на достъп до лични данни, освен че осигурява достъп до личните данни (например, чрез предоставяне на тяхно копие), Групата изпраща на физическото лице и следната информация:
целите на обработването;
съответните категории лични данни;
получателите или категориите получатели на личните данни (ако има такива);
информация относно намерението на Групата да предаде лични данни на трета държава или на международна организация, както и наличието на гаранции за защита на данните;
срока, за който Групата ще съхранява личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;
правата му да се изиска от Групата коригиране или изтриване на неговите лични данни, както и правата му на ограничаване на обработването, на възражение срещу обработването, както и на преносимост на лични данни;
правото на жалба до надзорен орган;
когато личните данни не се събират от физическото лице, всякаква налична информация за техния източник;
наличие на автоматизирано вземане на решения, включително профилиране, както и предвидените последствия от това обработване за физическото лице.
Когато искането на физическото лице е неоснователно и/или попада в хипотезите на ограничения, предвидени в правото на ЕС или националното законодателство, следва да бъдат изпълнени следните действия:
на лицето се отказва изпълнение на искането;
лицето се уведомява за правните аргументи за отказа;
уведомлението се вписва в Регистър на постъпили искания и направени уведомления.
УНИЩОЖАВАНЕ НА ЛИЧНИ ДАННИ
Групата унищожава лични данни в следните хипотези:
изтекло законово или договорно основание за обработка на лични данни;
оттеглено съгласие за обработка на лични данни;
неактуалност на личните данни.
При унищожаване на лични данни, служителите на Групата следва да спазват следните стъпки:
*попълване на протокол за извършеното унищожаване;
*съхраняване на протокола за срок от 2 години от датата на съставянето му;
*Вписване на протокола в Регистър на протоколите за унищожаване на лични данни;
Унищожаването на лични данни се извършва посредством шредер, съобразен с изискванията на Регламента.
ПОДДЪРЖАНЕ НА РЕГИСТЪР НА ДЕЙНОСТИТЕ В РОЛЯ НА АДМИНИСТРАТОР
Групата поддържа Регистър на дейностите по обработване на лични данни в роля на администратор, който представлява синтезирано описание на всяка отделна цел за обработка на лични данни и следва да съдържа следната информация:
Името и координатите за връзка на дружествата в Групата;
Целите на обработването;
Описание на категориите субекти на лични данни и на категориите лични данни, които обработва;
Категориите получатели, пред които са или ще бъдат разкрити личните данни, включително получателите в трети държави или международни организации, ако има такива;
Предвидените срокове за изтриване на различните категории лични данни;
Общо описание на техническите и организационни мерки за сигурност на личните данни.
Регистърът се води на хартиен и електронен носител.
Във всеки случай, когато в регистъра следва да се въведе нова дейност или нов запис, Групата, чрез свой представител, въвежда промените в регистъра воден на електронен носител, след което го принтира на хартиен носител и го прилага към досието на дейностите и се подписва при извършеното въвеждане.
След принтирането на хартиен носител на новата версия на регистъра, старите версии на регистъра се съхранява за срок от 3 години.
При поискване, представител на Групата следва да осигурява достъп до поддържаните регистри на Комисията за защита на личните данни или на друг контролен орган.
ИЗПОЛЗВАНЕ НА БИСКВИТКИ И ДИРЕКТЕН МАРКЕТИНГ
За целите на поддържане на уебсайта на Групата функционален и удобен за употреба от физическите лица, Групата използва т. нар. „бисквитки“. „Сооkіеѕ“ или „бисквитки“ са малки текстови файлове, които се запаметяват на твърдия диск на физическото лице – потребител. Тези бисквитки са необходими за функциониране на търсенията, което дава възможност на физическите лица да използват основните функционалности на сайта и поддържа възможна идентификацията им през цялото време;
Конкретните видове използвани „бисквитки“, както и начините, по които те могат да се управляват от потребителя, са надлежно описани в нашата „Политика за поверителност“, която може да бъде открита на интернет страницата : https://apriori-academy.com/
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Настоящата Политика е в сила за всички служители на дружествата, част от Групата.
Групата си запазва правото да променя и актуализира настоящата Политика по всяко време, като за целта ще уведоми засегнатите лица своевременно.