Поверителност на личните данни

Задължителна информация за правата на лицата по защита на личните данни

 

Този информационен документ е съставен въз основа на Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО.

 

Информация относно aдминистратора на лични данни

Наименование: “Джи Ем Джи-3” ООД ЕИК: 130391659

Седалище и адрес на управление: гр. София, ПК 1505 , кв. Редута, ул. „Братя Пешеви“ №3, ап. 4

Адрес за кореспонденция: гр. София, ПК 1505, кв. Редута, ул. „Братя Пешеви“ №3, ап. 4

E-mail: office@gmg3-bg.com

Телефон: 089 844 77 73, 089 844 77 37

 

Информация относно компетентния надзорен орган

Наименование: Комисия за защита на личните данни

Седалище и адрес на управление: гр. София, ПК 1592, бул. „Проф. Цветан Лазаров” № 2

Адрес за кореспонденция: гр. София, ПК 1592, бул. „Проф. Цветан Лазаров” № 2

Телефон: 02 915 3 518

Email: kzld@government.bg, kzld@cpdp.bg

Уеб сайт: www.cpdp.bg

 

Принципи при обработването на лични данни

Чл. 1. При обработването на лични данни от “Джи Ем Джи-3” се спазват следните основни принципи:

(1) Личните данни са обработвани законосъобразно, добросъвестно и по прозрачен начин по отношение на субекта на данните („законосъобразност, добросъвестност и прозрачност“);

(2) Личните данни са събирани за конкретни, изрично указани и легитимни цели и не се обработват по-нататък по начин, несъвместим с тези цели. По-нататъшното обработване за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели не се счита, съгласно член 89, параграф 1, за несъвместимо с първоначалните цели („ограничение на целите“);

(3) Личните данни са подходящи, свързани със и ограничени до необходимото във връзка с целите, за които се обработват („свеждане на данните до минимум“);

(4) Личните данни са точни и където и доколкото е необходимо са поддържани в актуален вид. Предприемат се всички разумни мерки, за да се гарантира своевременното изтриване или коригиране на неточни лични данни, като се имат предвид целите, за които те се обработват („точност“);

(5) Личните данни са съхранявани във форма, която позволява идентифицирането на субекта на данните за период, не по-дълъг от необходимото за целите, за които се обработват личните данни. Личните данни могат да се съхраняват за по-дълги срокове, доколкото ще бъдат обработвани единствено за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели съгласно член 89, параграф 1, при условие че бъдат приложени подходящите технически и организационни мерки, предвидени в настоящия регламент с цел да бъдат гарантирани правата и свободите на субекта на данните („ограничение на съхранението“);

(6) Личните данни са обработвани по начин, който гарантира подходящо ниво на сигурност на личните данни, включително защита срещу неразрешено или незаконосъобразно обработване и срещу случайна загуба, унищожаване или повреждане, като се прилагат подходящи технически или организационни мерки („цялостност и поверителност“);

(7) “Джи Ем Джи-3” в качеството си на администратор носи отговорност и е в състояние да докаже спазването на горните принципи („отчетност“). Основание за събиране, обработване и съхраняване на Вашите лични данни.

 

Чл. 2. (1) “Джи Ем Джи-3” събира и обработва лични данни във връзка с изпълнение на трудовото законодателство, извършването на продажби и предоставянето на услуги, поискани от клиенти. Основанията, на които събираме, обработваме и съхраняваме лични данни са:

• Изпращане на запитвания към “Джи Ем Джи-3”, в които клиенти посочват лични данни за обратна връзка;
• Изпълнение на задълженията на “Джи Ем Джи-3” по договор с клиенти;
• Спазване на законово задължение, което се прилага спрямо “Джи Ем Джи-3”;
• За целите на легитимния интерес на “Джи Ем Джи-3”.

(2) “Джи Ем Джи-3” е администратор на лични данни по отношение на данни на служители, клиенти и ползватели на услуги.

 

Цели и принципи при събирането, обработването и съхраняването на Вашите лични данни

Чл. 3. (1) “Джи Ем Джи-3” събира и обработва личните данни, които потенциални клиенти и клиенти ни предоставят във връзка с използването на нашите услуги и за сключване на договор с дружеството, както и за записване за участие в нашите събития, включително за следните цели: индивидуализация на страна по договора; счетоводни цели; статистически цели; защита на информационната сигурност; обезпечаване на изпълнението на договора за предоставяне на съответната услуга.

(2) “Джи Ем Джи-3” спазва следните принципи при обработката на Вашите лични данни: законосъобразност, добросъвестност и прозрачност; ограничение на целите на обработване; съотносимост с целите на обработката и свеждане до минимум на събираните данни; точност и актуалност на данните; ограничение на съхранението с оглед постигане на целите; цялостност и поверителност на обработването и гарантиране на подходящо ниво на сигурност на личните данни.

 

Какви видове лични данни събира, обработва и съхранява “Джи Ем Джи-3”

Чл. 4. (1) “Джи Ем Джи-3” извършва следните операции с лични данни за следните цели: Предварителни запитвания за цени, наличности, условия и др., свързани с потенциално сключване на търговска сделка - целта на тази операция е да се отговори на получено от потенциален клиент запитване по предпочетен от него комуникационен канал; Сключване и изпълнение на търговска сделка с клиент или партньор – целта на тази операция е сключване и изпълнение на договор с търговски партньор или клиент и неговото администриране; Сключване на договори и изпълнение на задължения по тях във връзка с трудовото и данъчното законодателство, свързано със служители на дружеството.

(2) “Джи Ем Джи-3” обработва следните категории лични данни и информация за следните цели и на следните основания:

 

Данни: Индивидуализиращи данни (име и фамилия, електронна поща, телефон)

Цел, за която се събират данните: Отговор на запитване от потенциален клиент, изпратено чрез контактна форма на уебсайта на “Джи Ем Джи-3”.

Основание за обработка на личните данни: Изпращането на запитване чрез онлайн контактна форма представлява доброволно предоставяне на контактна информация във връзка с евентуално сключване на договор, извършване на продажба или предоставяне на услуга. Използването на контактната форма не е задължително условие за извършване на покупка, използване на услуга или достъп до функционалност на сайта и не изисква изрично съгласие в официална форма.

 

Данни: Лични данни за издаването на фактура на физическо лице (име и фамилия, адрес, единен граждански номер).

Цел, за която се събират данните: Издаване на фактура за извършване на плащания по сключен договор за продажба или предоставяне на услуги.

Основание за обработка на личните данни: Изискванията към реквизитите на фактурата са описание в Закона за счетоводството. Събирането, обработването и съхраняването на такива лични данни се извършва на основание нормативно задължение на “Джи Ем Джи-3” и не изисква изрично съгласие в официална форма.

 

Данни: Лични данни за сключване и изпълнение на трудов/граждански договор (име, презиме и фамилия, единен граждански номер, лична карта, адрес, телефон, имейл, банкова сметка, данни за трудов стаж)

Цел, за която се събират данните: Изпълнение на нормативни изисквания и задължения на работодателя съгласно трудовото и данъчното законодателство, изпълнение на задължения по договор.

Основание за обработка на личните данни: Трудово и данъчно законодателство.

(3) “Джи Ем Джи-3” не събира и не обработва лични данни, които се отнасят за следното: разкриват расов или етнически произход; разкриват политически, религиозни или философски убеждения, или членство в синдикални организации; генетични и биометрични данни, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация.

(4) Личните данни са събрани от “Джи Ем Джи-3” от лицата, за които се отнасят.

(5) Дружеството не извършва автоматизирано взимане на решения с данни.

 

Предаване на данни за обработване за изпълнение на нормативни или договорни задължения

Чл. 5. За да се гарантира спазването на изискванията по отношение на обработването, извършвано от обработващия лични данни от името на “Джи Ем Джи-3”, когато на обработващия се възлагат дейности по обработването, “Джи Ем Джи-3” използва само такива обработващи лични данни, които предоставят достатъчни гаранции, по-специално по отношение на експертни знания, надеждност и ресурси, че ще предприемат технически и организационни мерки, които отговарят на изискванията на настоящия регламент, включително на изискванията за сигурността на обработването. Отговорността на обработващите лични данни, напр. данни, използвани в счетоводството, се урежда в договор между “Джи Ем Джи-3” и обработващата организация, който обвързва обработващия лични данни с администратора, регламентира предмета и продължителността на обработването, естеството и целите на обработването, вида лични данни и категориите субекти на данни, като се вземат предвид конкретните задачи и отговорности на обработващия лични данни в контекста на обработването, което следва да се извърши, както и рискът за правата и свободите на субекта на данни.

 

Право на оттегляне на съгласието за обработване

Чл. 6. (1) Субектът на данни има правото да оттегли съгласието си по всяко време чрез искане в свободен текст. В такъв случай оттеглянето на съгласието не засяга законосъобразността на обработването, основано на дадено съгласие преди неговото оттегляне. Оттеглянето на съгласие не може да се отнася до данни, които се поддържат в обществен интерес, в архив или за изпълнение на вменено със закон или подзаконов нормативен акт задължение на “Джи Ем Джи-3”.

(2) “Джи Ем Джи-3” съдейства на субектите на данни, изявили желание за оттегляне на съгласието, осигурява информация за начина на оттегляне и за последствията от това и по никакъв начин не възпрепятства или създава условия за забавяне. Оттеглянето на съгласие става по процедура, сходна, съответстваща или по-лека от процедурата, по която съгласието е било дадено.

 

Право на достъп

Чл. 7. (1) Субектът на лични данни има право да изиска и получи от “Джи Ем Джи-3” потвърждение дали се обработват лични данни, свързани с него. Субектът има право да получи достъп до данните, свързани с него, както и до информацията, отнасяща се до събирането, обработването и съхранението на личните му данни.

(2) Достъпът до данните е безплатен, но “Джи Ем Джи-3” си запазва правото да наложи административна такса, в случай на повторяемост или прекомерност на исканията.

(3) Достъп до данните в регистър може да бъде отказан, ако по технически причини не е възможно да се отдели визуализацията на всички данни за конкретен субект от данните за останалите субекти, което би довело до нарушаване на правата на други субекти на лични данни. В такива случаи “Джи Ем Джи-3” предоставя копие от обработваните данни в електронна или друга подходяща форма.

 

Право на изтриване („да бъдеш забравен“)

Чл. 8. (1) Субектът на лични данни има правото да поиска изтриване на свързаните с него лични данни, а “Джи Ем Джи-3” има задължението да ги изтрие без ненужно забавяне, когато е налице някое от посочените по-долу основания:

• личните данни повече не са необходими за целите, за които са били събрани или обработвани по друг начин;
• субектът оттегли своето съгласие, върху което се основава обработването на данните и няма друго правно основание за обработването;
• субектът възрази срещу обработването на свързаните с него лични данни, включително за целите на директния маркетинг и няма законни основания за обработването, които да имат преимущество;
• личните данни са били обработвани незаконосъобразно;
• личните данни трябва да бъдат изтрити с цел спазването на правно задължение по правото на ЕС или правото на държава членка, което се прилага спрямо администратора на лични данни;

(2) “Джи Ем Джи-3” не е длъжно да изтрие личните данни, ако ги съхранява и обработва: - за упражняване на правото на свобода на изразяването и правото на информация; - за спазване на правно задължение, което изисква обработване, предвидено в правото на ЕС или правото на държавата членка, което се прилага спрямо администратора; - за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели; - за установяването, упражняването или защитата на правни претенции.

(3) “Джи Ем Джи-3” не изтрива данните, които има законово задължение да съхранява, включително за защита по повод отправени срещу него съдебни претенции или доказване на свои права.

 

Право на ограничаване

Чл. 9. Субектът на лични данни има право да изиска от “Джи Ем Джи-3” да ограничи обработването на свързаните с него данни, когато:

• субектът оспори точността на личните данни, за срок, който позволява на администратора да провери точността на личните данни;
• обработването е неправомерно, но субектът не желаете личните му данни да бъдат изтрити, а само използването им да бъде ограничено;
• “Джи Ем Джи-3” не се нуждае повече от личните данни за целите на обработването, но субектът ги изисква за установяването, упражняването или защитата на свои правни претенции;
• субектът е възразил срещу обработването в очакване на проверка дали законните основания на “Джи Ем Джи-3” имат преимущество пред интересите на субекта.

 

Право на получаване на информация

Чл. 10. (1) Субектът на лични данни може да поиска от “Джи Ем Джи-3” да го информира относно всички получатели, на които личните данни, за които е поискано коригиране, изтриване или ограничаване на обработването, са били разкрити.

(2) “Джи Ем Джи-3” може да откаже да предостави тази информация, ако това би било невъзможно или изисква несъразмерно големи усилия.

 

Право на възражение

Чл. 11. Субектът на лични данни може да възрази по всяко време срещу обработването на лични данни от “Джи Ем Джи-3”, които се отнасят до него, включително ако се обработват за целите на профилиране или директен маркетинг. Възражението трябва да съдържа основания за повдигането им.

 

Регистър на постъпилите заявления

Чл. 12. “Джи Ем Джи-3” поддържа регистър, в който вписва заявленията и исканията, постъпили от субекти на лични данни по повод техните права.

 

Права на субекта на лични данни при нарушение на сигурността на данните

Чл. 13. (1) Ако “Джи Ем Джи-3” установи нарушение на сигурността на личните данни, което може да породи висок риск за права и свободите на субекта на данни, то е длъжно да го уведоми без ненужно забавяне за нарушението, както и за мерките, които са предприети или предстои да бъдат предприети. В уведомлението се посочва естеството на нарушението на сигурността на личните данни и се дават препоръки на засегнатото физическо лице за това как да ограничи потенциалните неблагоприятни последици.

(2) “Джи Ем Джи-3” не е длъжно да уведомява субекта на данните, ако:

• е предприело подходящи технически и организационни мерки за защита по отношение на данните, засегнати от нарушението на сигурността;
• е взело впоследствие мерки, които гарантират, че нарушението няма да доведе до висок риск за правата на субекта на лични данни;
• уведомяването би изисквало непропорционални усилия.

(3) При съмнения за наличието или приложимостта на основанията в ал. 2, “Джи Ем Джи-3” ще приеме консервативно тълкуване и ще пристъпи към уведомяване на субекта на лични данни.

 

Подаване на жалба за нарушени права

Чл. 14. В случай на нарушаване на правата на субекта на лични данни съгласно приложимото законодателство за защита на личните данни, той има право да подаде жалба до компетентния национален орган - Комисията за защита на личните данни (КЗЛД), както следва:

 

Наименование: Комисия за защита на личните данни

Седалище и адрес на управление: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2

Данни за кореспонденция: гр. София 1592, бул. „Проф. Цветан Лазаров” № 2 Телефон: 02 915 3 518

Имейл: kzld@government.bg, kzld@cpdp.bg

Уеб сайт: www.cpdp.bg