Inicio Política RGPD

Política RGPD

POLÍTICA GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN "UNION IVKONI" EOOD
1. Introducción
 
1.1. Consideraciones generales
La presente política general sobre la protección de datos personales (en adelante la "Política") regula el tratamiento de datos personales por parte de Union Ivkoni EOOD, Código de Identificación Único (CIU) 121444454, con domicilio social y administración central: Sofia 1000, c/  Tsar Ivan Shisman n. 17 (en adelante "la Compañía" y/o "el Administrador") con respecto a las categorías de datos personales que se especifican en los mismos para garantizar que este tratamiento cumple con los requisitos del Reglamento (CE) 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas en la Unión Europea sobre el tratamiento de datos personales y sobre la libre circulación de dichos datos, y por la que se deroga la Directiva 95/46/CE (Reglamento general sobre protección de datos, en adelante "el Reglamento") y cualquier otra legislación pertinente de la Unión Europea (UE) y legislación nacional de protección de datos. Esta Política se aplica a todos los asuntos de protección de datos personales para los cuales no existe ninguna otra regulación explícita o especial bajo otras Leyes de la Compañía.
 
1.2. La política tiene como objetivo regular y cubrir, en particular, los siguientes temas:
  • el tratamiento de datos personales, las categorías de los interesados a los que se aplica la Política, los principios de tratamiento y las responsabilidades relacionadas con el tratamiento;
  • las obligaciones de las personas que actúan bajo la dirección de la Compañía en el sentido del art. 29 del Reglamento en el tratamiento de datos personales y su responsabilidad por el incumplimiento de estas obligaciones;
  • los derechos de los interesados ​​y el procedimiento para ejercerlos;
  • procedimiento relacionado con el tratamiento de datos personales sobre la base del consentimiento de los interesados;
  • Reglas de respuesta en caso de una violación de datos personales;
  • Las medidas técnicas y organizativas para la protección de datos personales aplicados en la Compañía.
 
1.3. Información del administrador
Firma Union Ivkoni EOOD
   
Datos de inscripción inscrito en el Registro Mercantil y el Registro de personas jurídicas sin ánimo de lucro jutno a la Agencia de Registro, con CIU 121444454
   
Domicilio social y administración central Sofia 1000, c/  Tsar Ivan Shisman n. 17
   
Objeto de actividad social comercio interno y externo, actividad de operadores turísticos y agentes de turismo, representación, mediación y agencia de personas físicas y jurídicas, locales y extranjeras, realizando actividades de intermediación en contratación de mano de obra en el país y en el extranjero, transacciones de transporte y logística en el país y en el extranjero, gestión de hoteles, fabricación y comercio de productos industriales, artículos para el hogar, alimentos y productos agrícolas, producción, transmisión y comercio de electricidad, todas las demás transacciones comerciales, no prohibidas por la ley.
   
Длъжностно лице по защита на данните t.bolen@union-ivkoni.com
 
2. Términos utilizados y abreviaturas utilizadas.
 
Todos los términos y abreviaturas que no están explícitamente definidos en la Política tienen el significado definido en el Reglamento.
 
3. Actividades de tratamiento de datos personales.
 
3.1. Principios de tratamiento de datos personales.
El tratamiento de datos personales por parte del Administrador se rige por los siguientes principios:
  • Los datos personales se procesan solo en la existencia de uno de los motivos para el tratamiento, de conformidad con el Reglamento y/u otra legislación de protección de datos aplicable, de buena fe y de manera transparente con respecto al interesado (principio de legalidad, integridad y transparencia);
  • los datos personales se recopilan para fines específicos, explícitos y legítimos y no se tratan más de manera inconsistente con estos fines;
  • los datos personales son apropiados, relevantes y limitados a lo que es necesario en relación con los fines para los cuales se están tratando (principio de minimización de datos);
  • los datos personales son precisos y, si es necesario, se mantienen actualizados. El Administrador deberá tomar todas las medidas razonables para garantizar la supresión o la corrección oportunas de los datos personales inexactos, teniendo en cuenta los fines para los que se procesan (Principio de precisión en el tratamiento);
  • los datos personales se almacenan en un formato que permite que el interesado se identifique por un tiempo no mayor al necesario para los fines para los cuales se procesan los datos personales;
  • los datos personales se procesan de una manera que garantiza un nivel adecuado de seguridad de los datos personales, incluida la protección contra el tratamiento no autorizado o ilegal y contra la pérdida, divulgación, destrucción o daño accidentales, mediante la aplicación de medidas técnicas u organizativas adecuadas;
  • las medidas organizativas y técnicas implementadas garantizan la confidencialidad, integridad, disponibilidad y sostenibilidad continuas de los sistemas y servicios de tratamiento de datos.
3.2. Categorías de interesados. Categorías de datos personales y objetivos de tratamiento. Video vigilancia
3.2.1. El administrador tiene el derecho de procesar datos personales sobre sus clientes y otros interesados de la siguiente manera:
  1. los clientes (individuos) de la Compañía como transportista con respecto a los cuales se pueden procesar datos personales como tres nombres, Número de Identificación Civil (NIC), dirección IP, correo electrónico, número de teléfono, dirección MAC, etc. El tratamiento de datos personales se basa en el principio de minimizar los datos, dependiendo de y con el propósito de proporcionar los servicios que el cliente utiliza, como un descuento para niños y/o personas mayores de cierta edad (NIC), el uso del sistema en línea de la Compañía para compra de billete (Dirección IP, correo electrónico, teléfono, hábitos y preferencias), uso de wi-fi en los autobuses de la Compañía (dirección MAC), etc. Los objetivos de tratamiento incluyen: (i). la prestación del servicio de transporte y/o servicios adicionales, incluida la compra de billetes en línea y el uso del sitio web de la Compañía; (ii). almacenamiento de registros fiscales y contables; (iii). implementación de requisitos legislativos; (iv). proporcionando descuentos a clientes regulares; (v). objetivos relacionados con los intereses legítimos de la Compañía en el sentido del Reglamento;
  2. los clientes (individuos) de la Compañía como operador turístico con respecto a los cuales se pueden tratar datos personales como tres nombres, NIC, datos de dosumentos de identidad (documento de identidad o pasaporte según el destino elegido), datos y documentos necesarios para los propósitos de la policía, aduanas fronterizas o inspecciones por parte de una autoridad pública relevante, visa y/u otros tipos de documentos de permisos, información sobre vínculos familiares y relaciones (por ejemplo: con respecto a turistas menores de 18 años para cumplir con el requisito de consentimiento de los padres para salida del país, etc.), información de la cuenta bancaria (IBANen caso de pago bancario), información relevante para el seguro médico de viaje, en tipo y volumen, según lo requiera la (s) compañía (s) de seguros correspondiente (s) y/o la ley, información de contacto (por ejemplo, dirección de correo electrónico, dirección de contacto, número de teléfono) y otros datos como la dirección IP, MAC, etc. El tratamiento de datos personales se basa totalmente en el principio de minimizar los datos, dependiendo de y con el propósito de proporcionar los servicios que el cliente utiliza, como el uso de wi-fi en los autobuses de la Compañía (MAC), utilizando el sitio web de la Compañía (dirección IP, hábitos y preferencias), etc. Los objetivos de tratamiento incluyen: (i). la prestación del servicio de operador turístico solicitado y/o servicios adicionales, incluido el uso del sitio web de la Compañía; (ii). almacenamiento de registros fiscales y contables; (iii). implementación de requisitos legislativos; (iv). proporcionar descuentos a clientes regulares; (v). marketing directo; (vi). objetivos relacionados con los intereses legítimos de la Compañía en el sentido del Reglamento;
  3. Empleados potenciales, actuales y/o anteriores de la Compañía. En cuanto a los datos personales de estos interesados, se aplica una Política de Privacidad para los empleados de la Compañía;
  4. otras personas físicas y personas físicas representantes o personas de contacto de personas jurídicas que tienen contacto con la Compañía (incluidos, entre otros, proveedores, contactos comerciales, subcontratistas, otros contratistas y socios comerciales, etc.) para fines de implementación y/o gestión de la actividad de la Compañía;
  5. otras personas físicas, representantes por ley o por poder, a personas físicas, clientes de la Compañía (por ejemplo, padres de menores en caso de consentimiento de salir del país, etc.)
 
3.2.2. La Compañía ha creado y mantiene un registro del tratamiento de datos personales como administrador en virtud del art. 30 del Reglamento (en adelante, el "Registro"). El registro se describe en detalle en el p. 7 de la Política y contiene la información especificada en el Reglamento, incluidas las categorías específicas de los interesados, las categorías de datos personales, los objetivos y el período de tratamiento categorizados por actividades.
 
3.2.3. La Compañía retiene por el período más largo los datos personales requeridos para cumplir con las leyes y regulaciones aplicables o cualquier otro período según lo exija el negocio de la Compañía. El tratamiento de datos personales se basa en el principio de minimizar los datos, dependiendo de y con el propósito de proporcionar los servicios que el cliente utiliza (como un descuento para niños y/o  personas mayores de una edad determinada). Algunos de los datos se pueden almacenar después de que el servicio solicitado por el cliente se haya completado con el fin de otorgar descuentos a los clientes habituales.
 
3.2.4. La compañía realiza videovigilancia de áreas de acceso público en puntos de venta de billetes, oficinas e instalaciones de servicio. La videovigilancia se realiza de acuerdo con las reglas de videovigilancia del Administrador.
 
4. Categorías de destinatarios de los datos.
 
El Administrador puede revelar datos personales a las siguientes personas:
• proveedores de servicios: consultores, abogados, contadores, auditores, especialistas en TI, etc., en relación con la celebración de los contratos de la actividad principal de la Compañía, el cumplimiento de los requisitos legales, el soporte técnico, etc. Dicha divulgación se realizará a base de un acuerdo por escrito con el proveedor de servicios correspondiente para garantizar que el mismo asegura un nivel adecuado de protección y el cumplimiento de la legislación sobre datos personales;
• subcontratistas: cuando prestan servicios en nombre del Administrador (representantes comerciales, operadores turísticos, agentes turísticos, etc.) dentro y fuera del territorio de la República de Bulgaria en relación con la conclusión y ejecución de los contratos de transporte de pasajeros y servicios turísticos. Dicha divulgación se realizará sobre la base de un acuerdo por escrito con el subcontratista en cuestión para garantizar que el mismo asegura un nivel adecuado de protección y el cumplimiento de la legislación sobre datos personales;
• Proveedores de servicios para el suministro y mantenimiento de equipos, software y hardware utilizados para el tratamiento (incluido el almacenamiento) de datos personales, para la notificación de pagos, etc.;
• bancospara el servicio de pagos por parte de los interesados para servicios de pasajeros y/o servicios de viaje;
• compañías de seguridad que brindan servicios de seguridad privada en relación con la videovigilancia de áreas de acceso público en los puntos de venta de billetes del Administrador;
• autoridades públicas o judiciales, dentro y en la medida permitida y/o requerida por la ley;
• compañías de seguros - en relación con la conclusión del seguro de viaje en la prestación de servicios turísticos;
• otros controladores de datos, en los casos en que la Compañía actúa como un encargado del tratamiento en su nombre.
 
5. Obligaciones del Administrador.
 
El Administrador tiene las siguientes obligaciones:
  • define las políticas y procedimientos para la protección de los datos personales tratados, cumple con los requisitos del Reglamento, la legislación de la UE y la legislación nacional en el campo de la protección de datos personales;
  • nombra un oficial de protección de datos;
  • proporciona a la organización el mantenimiento del Registro de acuerdo con las medidas previstas para garantizar una protección adecuada;
  • introduce, tanto en el momento de la designación de los medios de tratamiento como en el momento del tratamiento mismo, las medidas técnicas y organizativas apropiadas que se han desarrollado referente a la implementación efectiva de los principios de protección de datos;
  • garantiza el ejercicio de los derechos de las personas para la protección de sus datos personales;
  • introduce medidas técnicas y organizativas adecuadas para garantizar y poder demostrar que el tratamiento de datos personales se lleva a cabo de acuerdo con los requisitos del Reglamento;
  • introduce medidas técnicas y organizativas adecuadas para garantizar que solo los datos personales que se requieren para cada propósito de tratamiento específico se traten de forma predeterminada. Esta obligación se refiere al volumen de datos personales recopilados, al nivel de tratamiento, le período de almacenamiento y la accesibilidad;
  • supervisa el cumplimiento de los requisitos para la protección del Registro, establece circunstancias relacionadas con la violación de su protección y toma medidas para su eliminación;
  • actualiza los registros soportados;
  • mantiene los datos personales en una forma que permita la identificación de las personas involucradas por un período no mayor al necesario para los fines para los cuales se están procesando dichos datos;
  • informa periódicamente y realiza, según corresponda, la capacitación del personal en temas de protección de datos personales;
  • asiste en el cumplimiento de las funciones de control de la Comisión para la Protección de Datos Personales en su calidad de órgano de supervisión en virtud del art. 51 del Reglamento (en adelante, "CPDP"), ayuda a establecer circunstancias relacionadas con la protección de datos personales;
  • define los derechos de los empleados para acceder a los datos personales en los sistemas de información de acuerdo con el propósito del tratamiento para garantizar la legalidad y observar los principios del tratamiento;
  • utiliza personas que tratan datos personales que proporcionan garantías adecuadas mediante la aplicación de medidas de protección técnicas y organizativas adecuadas;
  • cumple con ciertas reglas en caso de una violación de datos personales;
  • documenta cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con la violación de los datos personales, sus consecuencias y las medidas adoptadas para tratar con ellos;
  • Lleva a cabo una evaluación de riesgos, según lo exige el Reglamento, o una evaluación de impacto, cuando se cumplan las condiciones en virtud del Reglamento.
 
6. Deberes de los empleados del Administrador. Responsabilidad. Política de privacidad
 
6.1. Los empleados del administrador comienzan a procesar datos personales después de conocer:
  • el marco legal en el campo de la protección de datos personales, incluido el Reglamento y la Ley de Protección de Datos Personales (en adelante, "LPDP");
  • La política y otros actos internos del Administrador relacionados con la protección de datos personales;
  • Riesgos de datos personales tratados ​​por el Administrador.
  • Los empleados del Administrador deberán:
  • cumplir con los requisitos del Reglamento, las demás leyes de protección de datos aplicables, la Política de privacidad y otros actos internos del Administrador;
  • procesar datos personales solo si existe una condición para el tratamiento legal (base legal), a saber: un motivo para el tratamiento de datos personales que resulte de la ley; o razón para el tratamiento de datos personales derivados de la relación contractual con la persona; o razón para el tratamiento de datos personales que resulte del consentimiento explícito de la persona; o la razón del tratamiento de datos personales que surja del interés legítimo del Administrador o de un tercero y cuyo interés legítimo tenga prioridad sobre los intereses, derechos fundamentales y libertades del interesado que requieren la protección de datos personales;
  • utilizar los datos personales a los que acceden de acuerdo con los fines para los que se recopilan y no seguir procesándolos de manera incompatible con dichos fines;
  • no utilizar los datos personales a los que se accede como empleados del Administrador para ningún propósito personal;
  • observe la regla de evitar la posibilidad de acceso no autorizado a datos personales y de dejar los datos personales disponibles desatendidos en el lugar de trabajo. En las instalaciones a las que pueden acceder personas externas, se requiere que el personal relevante tome medidas para que las personas externas no tengan acceso no autorizado a documentos que contengan datos personales, como poder verlos, copiarlos o fotografiarlos con una herramienta técnica ;
  • cuando la ejecución de la actividad respectiva lo permita, limitar los datos personales utilizados al máximo;
  • asegurar y garantizar el respeto de los derechos de las personas con respecto al tratamiento de datos personales;
  • prevenir, no assistir o crear violaciones de seguridad para el tratamiento de datos personales;
  • no compartir ni proporcionar entre sí o con terceros información que sea esencial para la seguridad de los datos (nombres de usuario, contraseñas, etc.);
  • no copiar archivos con información corporativa que contengan datos personales en un medio portátil en un tipo no cifrado (o protegido por contraseña);
  • no enviar por correo electrónico a correos electrónicos fuera de la Compañía información que contenga volúmenes sustanciales de datos personales o categorías especiales de datos personales u otros datos personales cuyo acceso no autorizado pueda constituir un alto riesgo para los derechos e intereses de los interesados a los que hacen referencia en archivos que no sean protegidos con contraseña;
  • no publicar datos personales sobre clientes o empleados de la Compañía en sitios públicos, etc., sin una base legal adecuada para esto;
  • Brindar asistencia al Oficial de Protección de Datos (OPD) en el ejercicio de sus poderes.
 
6.2. Responsabilidad delos empleados
 
6.2.1. Todas las acciones que conduzcan o puedan resultar en la eliminación, destrucción o modificación no autorizada de los datos personales recibidos por el Administrador en forma electrónica o impresa, así como el intercambio/divulgación no autorizados de datos personales por parte de los empleados de la Compañía están prohibidos y pueden resultar en la realización de la responsabilidad del empleado en cuestión.
 
6.2.2. En caso de incumplimiento de las disposiciones del Reglamento y/o LPDP y/o la Política y/u otras leyes internas aplicables del Administrador, los empleados del Administrador llevarán responsabilidad disciplinaria.
 
6.2.3. Además de la responsabilidad disciplinaria, la responsabilidad administrativa-penal y/o penal del empleado respectivo puede realizarse si el acto es un acto por el cual se proporciona la responsabilidad penal o administrativa-penal;
 
6.2.4. Además de la responsabilidad disciplinaria, administrativa-penal y penal, el empleado en cuestión lleva responsabilidad civil que puede realizarse si se cumplen los requisitos previos.
 
6.3. El Administrador:
  • garantiza la firma de la declaración de privacidad y la no divulgación de datos personales por parte de todos los empleados que procesan datos personales sobre ellos;
  • mantener información sobre el cumplimiento de sus obligaciones de capacitación para el personal que procesa los datos personales y la capacitación sobre eventos que amenazan la seguridad de los datos personales.
 
7. Mantener un registro delas actividades detratamiento de datos personales como administrador.
 
Según los requisitos del art. 30, párrafo 1 del Reglamento, la Compañía mantiene un Registro de las actividades de tratamiento como administrador, que contiene el nombre y los datos de contacto del Administrador y el OPD. El registro incluirá una descripción detallada de todas las actividades de tratamiento de datos personales de conformidad con el art. 30, párrafi 1 del Reglamento, incluyendo las siguientes características:
  • el nombre de la empresa (proceso empresarial, función) para el tratamiento de datos personales;
  • los fines y motivos del tratamiento de datos personales;
  • las categorías de individuos para los cuales se procesan los datos personales (clientes, empleados, personas de contacto de personas jurídicas, etc.);
  • las categorías de datos personales que se procesan en la actividad en cuestión;
  • el tratamiento de categorías especiales de datos (por ejemplo, información de salud, si corresponde);
  • las fuentes de datos personales;
  • terceros que reciben o participan en el tratamiento de datos personales en la actividad en cuestión;
  • ubicación (almacenamiento) de datos personales;
  • los plazos para almacenar y eliminar las diferentes categorías de datos personales siempre que sea posible;
  • una descripción general de las medidas de seguridad técnicas y organizativas cuando sea posible.
 
8. Mantener registros de tratamiento de datos personales como encargado del tratamiento.
 
Para ciertas actividades de tratamiento de datos, la Compañía actúa como una autoridad contratante, es decir, en nombre de otras personas: administradores de datos personales, p. ej. Compañías de seguros (en el caso de sus actividades de operador turísticos). En tales casos de tratamiento, la Compañía actúa como un encargado del tratamiento de datos personales. En cumplimiento de los requisitos del art. 30, párrafo 2 del Reglamento, la Compañía mantiene un Registro para el tratamiento de datos personales como encargado del tratamiento, que contiene el nombre y los datos de contacto de la Compañía y del controlador en cuyo nombre procesa los datos. El registro incluirá una descripción detallada de todas las actividades (procesos de negocio, funciones) para el tratamiento de datos personales de acuerdo con los requisitos del art. 30, párrafo (2) del Reglamento con al menos las siguientes características:
  • las categorías de tratamiento realizadas en nombre de cada administrador;
  • terceros que reciben o participan en el tratamiento de datos personales en la actividad en cuestión;
  • cuando sea aplicable, la transferencia de datos personales a un tercer país u organización internacional, incluida la identificación de ese tercer país u organización internacional, respectivamente, las garantías apropiadas (cuando sea necesario);
  • una descripción general de las medidas de seguridad técnicas y organizativas donde sea aplicable y posible.
 
9. Oficial de protección de datos
 
El Administrador ha nombrado un Oficial de Protección de Datos (en adelante, "OPD"), que es un participante apropiado y oportuno en todos los asuntos relacionados con la protección de datos personales. El OPD tiene los siguientes deberes y poderes:
  • informar y consultar la gerencia y los empleados que realizan actividades de tratamiento de datos sobre sus obligaciones en virtud del Reglamento y cualquier otra legislación nacional y de la UE pertinente sobre protección de datos;
  • supervisar y es responsable de la sensibilización y capacitación del personal involucrado en las operaciones de tratamiento de datos personales;
  • elaborar y propone normas y políticas internas de aprobación para la protección de datos personales o cambios en las reglas y políticas existentes;
  • controlar la necesidad de un cambio en el tratamiento de datos personales y documentos relacionados y/o documentos normativos;
  • participar en actividades de evaluación de riesgos y, cuando corresponde, en el impacto del tratamiento de datos personales;
  • actuar como un único punto de contacto para los interesados ​​en el ejercicio de sus derechos en virtud del Reglamento;
  • mantener las solicitudes de los interesados para el ejercicio de sus derechos;
  • mantener información sobre las violaciones de seguridad de la protección de datos personales;
  • mantener registros en virtud del art. 30 del Reglamento sobre el tratamiento de datos personales;
  • realizar control exhaustivo, realizar evaluaciones periódicas, asesorar y proporcionar recomendaciones y sugerencias para garantizar un nivel adecuado de seguridad de los datos personales.
  • Las responsabilidades del OPD se detallan en la descripción del purdyo (cuando es un empleado de la Compañía) o en el contrato de servicio respectivo (cuando no es un empleado de la Compañía).
 
10. Derechos de los interesados.
 
El Administrador tomará las medidas necesarias para proporcionar a los interesados ​​información sobre el tratamiento de datos personales de forma clara, transparente, comprensible y fácilmente accesible en un lenguaje claro y sencillo. El administrador asistirá al interesado en el ejercicio de los derechos en virtud de los artículos 15 a 22 del Reglamento.
En los casos en que las reclamaciones de un interesado son claramente irrazonables o excesivas (en particular debido a su repetibilidad), el Administrador puede negarse a actuar.
El Administrador deberá, en particular, garantizar los siguientes derechos de los interesados:
  • el derecho a información al recopilar datos personales por parte del interesado o por terceros;
  • el derecho de acceso a los datos del interesado, y en particular: (i). confirmación de que los datos personales de este interesado están siendo tratados ​​por la Compañía; (ii). proporcionar acceso a los datos a través de una copia de los datos que se procesan, así como información sobre los fines del tratamiento; categorías de datos personales; los destinatarios o categorías de destinatarios a los que se divulgarán o se divulgarán datos personales; los plazos para el almacenamiento de datos personales; la existencia de un derecho para rectificar o eliminar datos personales o para restringir el tratamiento de datos personales o una objeción al tratamiento; el derecho de apelación ante una Autoridad supervisora ​​(que en la República de Bulgaria es CPDP); fuentes de datos personales; la existencia de toma de decisiones automatizada, incluido el perfilado;
  • derecho a rectificación: exigir la rectificación o la finalización de sus datos personales si son inexactos o incompletos;
  • derecho a eliminar datos personales cuando estén disponibles los motivos previstos en el Reglamento;
  • derecho a limitar el tratamiento;
  • derecho a portabilidad de datos;
  • derecho de oposición;
  • derecho del interesado a no ser sujeto de una decisión basada únicamente en el tratamiento automatizado que implique la elaboración de perfiles que produzca efectos legales o que de otro modo los afecte significativamente;
  • otorgar, modificar o retirar el consentimiento para el tratamiento de datos personales cuando el motivo del tratamiento sea el consentimiento del interesado.
Los interesados pueden ejercer sus derechos al enviar una solicitud por escrito al Administrador de una de las siguientes maneras:
  • personalmente, por un representante legal o por un representante autorizado del interesado, en la oficina de la Compañía, ubicada en Sofía, avda. Knyaginya Maria Luiza n.102, estación de autobuses Serdika - piso 2, después de una certificación de la identificación del interesado o el representante relevante por un empleado del Administrador;
  • por correo electrónico alOPD a través de una firma electrónica calificada, de conformidad con la Ley de Documentos Electrónicos y Servicios de Certificación Electrónica (en adelante, "KEP");
  • Por correo con el envío de una declaración certificada ante notario para garantizar la identificación del solicitante.
Todas las solicitudes presentadas en la oficina de la Compañía antes mencionada o por correo postal se envían alOPD, que las tramita sin demora. En el plazo de un mes desde la presentación de la solicitud, el OPD notificará al interesadosobre la acción tomada en la solicitud, respectivamente, las razones por las cuales no tomó acción y la posibilidad de presentar una queja ante un supervisor y buscar protección legal. Si se toma una acción sobre la solicitud, la fecha límite para notificar al interesado de estas acciones se puede extender a un total de tres meses, teniendo en cuenta la complejidad y el número de solicitudes. En este caso, el OPD notificará al interesadosobre la extensión dentro del período inicial de un mes.
La información (que puede variar dependiendo de qué derecho del interesado se ejerce con la solicitud) se proporciona en papel en persona al interesado o a su representante legal o un representante autorizado por Poder Notarial. Si la solicitud se envía por correo electrónico, la información también se proporciona por correo electrónico a la dirección de correo electrónico de la cual sale la solicitud. En este caso, la información se envía en archivos protegidos por contraseña.
 
11. Consentimiento del interesado como base para el tratamiento de datos personales.
 
11.1. Razón
Conforme al art. 6, párrafo 1, letra "a" del Reglamento, el consentimiento del individuo es uno de los motivos legales para la legalidad del tratamiento de datos personales. El consentimiento debe otorgarse personalmente mediante una declaración por escrito, en forma electrónica o mediante otro método especificado por el Administrador, para garantizar que el consentimiento sea:
  • dado libremente; y
  • específicamente y
  • informado; y
  • sin ambigüedad,
 
11.2. Interesados
La Compañía puede recopilar los consentimientos para todas las categorías de interesados para los cuales se procesan datos personales, incluidos clientes y empleados.
El consentimiento de los interesados ​​debe recopilarse solo por escrito, mediante declaraciones de consentimiento, una vez que la persona haya sido identificada para probar la existencia del consentimiento para la actividad de tratamiento relevante, si es necesario. El consentimiento es un motivo separado para el tratamiento de datos personales y los propósitos específicos del tratamiento se especifican en el mismo.
 
11.3. Retirada
La compañía permite a los interesados modificar fácilmente o retirar su consentimiento sin causar consecuencias legales adversas cuando sea objetivamente posible. Los sujetos de los datos realizan cambios o retiros de consentimiento conforme al orden de los consentimientos. En caso de retiro parcial o total del consentimiento, cuando el tratamiento de datos personales se realiza a esta base, es posible que la Compañía no pueda proporcionar el servicio solicitado por el Cliente.
 
11.4. Recopilar consentimientos de clientes.
Los consentimientos de los clientes antiguos, actuales y sus representantes se recopilan de una de las siguientes maneras:
  • en persona, en cualquier oficina o representación de la Compañía;
  • a través de un operador postal autorizado con una certificación notarial de la declaración de consentimiento; o
  • una declaración de consentimiento firmadа con KEP, enviada por correo electrónico a la OPD.
 
11.5. Recopilación de los consentimientos de los empleados.
Los consentimientos de los empleados antiguos, actuales y solicitantes de empleo se recopilan de una de las siguientes maneras:
  • personalmente, en la unidad de gestión de recursos humanos;
  • por correo electrónico para los empleados actuales;
  • una declaración de consentimiento firmadа con KEP, enviada por correo electrónico a la OPD, para ex empleados y solicitantes de empleo; o
  • a través de un operador postal con licencia con una certificación notarial de la declaración de consentimiento.
 
11.6. Dar y retirar consentimientos en línea.
Cuando exista un caso en el que se requiera el consentimiento para procesar datos personales de la Compañía con respecto a los servicios prestados por la Compañía que se reclaman o utilizan en línea, dicho consentimiento también se obtendrá (en consecuencia, se retirará) en línea, sujeto a reglas separadas para esto.
 
11.7. Almacenamiento
Todos los consentimientos para el tratamiento de datos personales están registrados y almacenados por el Administrador
 
12. Tratamiento de datos personales por parte del Administrador mediante encargado del tratamiento de datos personales.
 
Para el desempeño de su actividad, la Compañía puede utilizar a terceros (subcontratistas, representantes de ventas, proveedores de servicios, etc.) que actúen en su nombre para el tratamiento de datos personales y el tratamiento de datos personales en el sentido del art. 4, punto 8 del Reglamento. Tales encargado del tratamiento pueden ser:
  • empresas comerciales;
  • personas contratadas en contratos civiles.
Al asignar el tratamiento de datos personales a un encargado del tratamiento, el administrador cumple con los siguientes requisitos:
  • seleccionar encargados del tratamiento que ofrezcan garantías suficientes para la aplicación de medidas técnicas y organizativas adecuadas para proteger los datos personales;
  • las condiciones para la protección de datos personales están reguladas en un acuerdo escrito por separado o en el contrato escrito principal entre el Administrador y el encargado del tratamiento;
Los contratos (respectivamente los acuerdos) que el Administrador concluye con los encargados del tratamiento de datos personales deben definir y ajustar al menos:
  • el asunto y duración del tratamiento;
  • el propósito y la naturaleza del tratamiento;
  • las categorías de los interesados con respecto a los datos a procesar;
  • el tipo de datos personales que el encargado del tratamiento manejará en nombre del Administrador;
  • los derechos y obligaciones del Administrador y del encargado del tratamiento;
  • los requisitos de las medidas técnicas y organizativas para la protección de datos personales que el encargado del tratamiento debe aplicar, de acuerdo con los detalles y el alcance de la asignación específica. A pesar de los acuerdos específicos en dichos contratos, no se permitirá un desvio de y respectivamente aplicación de un nivel de protección de datos personales inferior al establecido en esta Política;
  • obligación para el encargado del tratamiento de ayudar al Administrador a cumplir con sus obligaciones según el Art. 31-36 del Reglamento;
  • una obligación para el encargado del tratamiento de notificar al Administrador sin demoras indebidas después de que él / ella tenga conocimiento de la existencia de una violación de datos personales;
  • requisitos para el encargado del tratamiento y otras condiciones obligatorias según el art. 28, punto 3 del Reglamento.
 
13. Reglas para responder a las violaciones de datos personales.
 
13.1. Razón
Las reglas para responder a las violaciones de seguridad de datos personales se basan en los requisitos del art. 33 y el art. 34 del Reglamento.
 
13.2. Detectar una violación de la seguridad por un empleado
En el caso de que ocurra una violación de la seguridad por parte de un empleado del Administrador, el empleado involucrado deberá notificar inmediatamente alOPD por escrito (y si es posible, oralmente - personalmente o por teléfono), proporcionando todos los detalles (encuanto tenga información sobre esto) la naturaleza de la violación, el tiempo supuesto de la ocurrencia/realización de la violación, etc.
 
13.3. Alertas de las infracciones de seguridad de terceros.
El Administrador acepta las alertas de la presencia de una violación de seguridad por terceros de una de las siguientes maneras:
• personalmente en la oficina de la Compañía, ubicada en Sofía, avda. Knyaginya Maria Luiza n. 102, estación de autobuses "Serdika", segundo piso, después de la identificación de la persona por parte de un empleado del Administrador;
• por correo electrónico alOPD mediante una firma electrónica calificada, de conformidad con la Ley de documentos electrónicos y servicios de certificación electrónica;
• Por correo con el envío de una alerta con certificación notarial.
 
13.4. Estudio de la violación de seguridad y medidas.
Sin demoras indebidas, el OPD crea una comisión de estudio de caso que consta de empleados delAdministrador debidamente calificados, según el caso. La Comisión debería investigar la situación de hecho, realizar un análisis y evaluar la gravedad de la infracción, teniendo en cuenta el riesgo para los derechos y libertades de las personas, el número de personas interesadas, etc., y proponer, cuando corresponda, medidas correctivas apropiadas para correxión y donde sea imposible - minimizar los riesgos identificados y los posibles efectos adversos.
 
13.5. Notificación de CPDP
En el caso de una violación de la seguridad, el Administrador informará a través del OPDel CPDP dentro de las 72 horas posteriores a la ocurrencia, a menos que no haya ninguna probabilidad de que la violación de la seguridad represente un riesgo para los derechos y libertades de las personas físicas.
 
13.6. Notificación de los interesados.
En caso de que una violación de la seguridad pueda generar un alto riesgo para los derechos y libertades de las personas, el Administrador informará de la violación de la seguridad de los datos personales de los interesados ​​en cuestión sin demora indebida. En la comunicación al interesado, en un lenguaje claro y simple, se describe la naturaleza de la violación de los datos personales y se establece al menos: el nombre y los datos de contacto del OPD; una descripción de las posibles consecuencias de la violación de la seguridad de los datos personales; una descripción de las medidas tomadas o propuestas por el Administrador para abordar la violación de datos personales, incluidas, cuando corresponda, medidas para mitigar cualquier efecto adverso.
 
El Administrador puede abstenerse de comunicar a los interesados la violación si:
(i). ha tomado las medidas de protección técnica y organizativa apropiadas por adelantado y estas medidas se han aplicado a los datos personales afectados por la violación de datos personales (por ejemplo, cifrado); y/o
(ii). posteriormente ha tomado medidas para garantizar que el alto riesgo para los derechos y libertades de los interesados ​​ya no sea probable que se materialice; y/o
(iii). tal información llevaría a esfuerzos desproporcionados. En este caso, el Administrador hará un anuncio público en su sitio web y o mediante la divulgación apropiada por parte de los medios de comunicación de la existencia de una violación de seguridad que pueda llevar a un alto riesgo para los derechos y libertades de las personas.
 
13.7. Almacenamiento
Todas las alertas de violación de la seguridad de los datos personales se registran y almacenan por el Administrador.
 
13.8. Formación
Los empleados involucrados en el tratamiento de los datos personales recibirán formación periodica para responder a las violaciones de seguridad de los datos personales.
 
14. Medidas técnicas y organizativas para proteger los datos personales
 
14.1. Medidas técnicas y organizativas de la Compañíacomo administrador
 
En las operaciones de la empresa se proporcionan las medidas técnicas y organizativas necesarias para proteger los datos personales contra la destrucción accidental o ilícita, la pérdida accidental, el acceso, la modificación o la distribución no autorizados, así como otras formas de tratamiento ilícito.
 
Los tipos de protección son física, personal, documental, protección de los sistemas automatizados de información y/o redes, protección criptográfica.
Las medidas son consistentes con los logros tecnológicos modernos y ofrecen un nivel de seguridad adecuado a los riesgos asociados a las actividades de tratamiento y la categoría de los datos protegidos.
Las medidas técnicas y organizativas específicas que se aplican por la Compañía se enumeran en detalle en el Apéndice 1 de la presente Política, ya que el mismo puede estar sujeto a actualizaciones periódicas.
 
14.2. Medidas técnicas y organizativas de la Compañía como encargado del tratamiento
En el caso de que la empresa trata datos personales, como encargado del tratamientopara otros administradores, las medidas técnicas y organizativas específicas utilizadas por la Compañía como encargado deltratamiento se determinan en los acuerdos individuales con el administrador relevante, y si no hay tal determinación, la Compañía se aplicará la técnica y medidas de organización como Administrador.
 
15. Transmisión de datos personales fuera del Espacio Económico Europeo (EEE)
 
El administrador puede realizar transferencias internacionales de datos procedentes del Espacio Económico Europeo (EEE), cuando la Comisión Europea ha reconocido un país fuera del EEE como país que proporciona un nivel adecuado de protección de datos.
Para las transferencias a países fuera del EEE, cuyo nivel de protección no es reconocido por la Comisión Europea, el Administrador se basará o en una excepción específica aplicable a la situación en virtud del Reglamento (ej. Si la transferencia sea necesaria para la ejecución del contrato de la Compañía con el interesado), o aplicará una de las garantías previstas por la ley aplicable.
En otros casos, para la transmisión de datos personales fuera del EEE, esto se realiza a base del consentimiento explícito del interesado para la transferencia propuesta. En estos casos, la necesidad de tales transferencias, el país al cual se hará la transmisión y la falta de una decisión de la Comisión Europea para un nivel adecuado de protección para este país y de garantías adecuadas en la transferencia propuesta, será notificadoel interesadoy se les pedirá su consentimiento.